Sécurité MCP 2.0 : Trois questions que chaque RSSI doit poser avant de déployer des agents IA

Perspective

Vernell, Principal Security and AI Intelligence chez Commvault, livre une masterclass sur la sécurisation des déploiements d'agents IA en entreprise. Alors que la plupart des discussions sur MCP se concentrent sur les capacités, cette conversation aborde ce qui se passe quand les choses tournent mal et comment la nouvelle spécification 2.0 change le calcul sécuritaire.

Sur l'évolution de MCP 1.x vers 2.0 : Ce changement représente une transformation fondamentale de philosophie. "1.x was really about onboarding us, our technology to move forward to using AI. Step two is really securing those models." (1.x visait vraiment à nous intégrer, notre technologie, pour avancer vers l'utilisation de l'IA. L'étape deux consiste vraiment à sécuriser ces modèles.) Ce n'est pas une amélioration incrémentale, c'est l'industrie qui reconnaît que l'adoption sans sécurité crée un risque inacceptable.

Les trois changements fondamentaux de MCP 2.0 : Premièrement, le support OAuth apporte ce que Vernell appelle "Active Directory pour internet", permettant enfin aux entreprises d'attribuer des permissions et privilèges à des clés cryptographiques. Deuxièmement, les schémas structurés agissent comme des requêtes SQL paramétrées, créant des listes blanches qui définissent exactement quelles actions les outils peuvent effectuer. "These structures allow you to define specifically what actions a tool is able to do and anything else it will just ignore." (Ces structures vous permettent de définir spécifiquement quelles actions un outil peut effectuer et tout le reste sera simplement ignoré.) Troisièmement, le flux d'élicitation introduit des points de pause pour la supervision humaine.

Sur les lacunes restantes : Même avec la version 2.0, les entreprises ne peuvent pas vérifier cryptographiquement qu'un serveur MCP est légitime. "Clones and copies exist, tools are modified, tools are added, and we have no way of verifying today cryptographically that this is our original MCP server we're interfacing with." (Des clones et copies existent, des outils sont modifiés, des outils sont ajoutés, et nous n'avons aucun moyen de vérifier aujourd'hui cryptographiquement que c'est notre serveur MCP original avec lequel nous interagissons.) C'est un problème de confiance significatif qui ne sera pas résolu par les mises à jour du protocole seules.

Le cadre d'évaluation des risques en trois questions : L'approche pratique de Vernell coupe à travers la complexité : (1) Quelle autorité mon agent possède-t-il ? Lecture seule avec garde-fous est faible risque ; les capacités de destruction/modification/déplacement nécessitent un verrouillage. (2) Quel est le rayon d'impact ? Un utilisateur, une application entière, ou mouvement latéral à travers l'entreprise ? (3) L'action est-elle réversible ? Lire des informations versus les supprimer change tout.

Sur la direction future et la visibilité : "We spent 20 years trying to secure how software is developed securely. And AI is not going to get a shortcut to this because it's new to the party." (Nous avons passé 20 ans à essayer de sécuriser le développement logiciel. Et l'IA n'aura pas de raccourci pour cela parce qu'elle est nouvelle dans la partie.) L'accent à l'avenir sera mis sur la visibilité en temps d'exécution, la journalisation d'audit et la conformité. Les entreprises doivent prouver que leurs agents IA ont fonctionné correctement, surtout lorsque des attaques sur la chaîne d'approvisionnement tierce se produisent.

Points clés

• MCP 2.0 est axé sur la sécurité - Contrairement à 1.x qui se concentrait sur l'adoption, 2.0 introduit OAuth, les schémas structurés et les flux d'élicitation spécifiquement pour sécuriser les déploiements d'agents IA
• La confiance des serveurs reste non résolue - Aucun moyen cryptographique de vérifier que les serveurs MCP sont légitimes ; les organisations doivent implémenter l'isolation réseau et la signature d'outils indépendamment
• Trois questions pour l'évaluation des risques - Le niveau d'autorité, le rayon d'impact et la réversibilité des actions forment un cadre simple mais efficace pour évaluer tout déploiement d'agent IA
• L'humain dans la boucle est essentiel - Les actions à fort impact devraient déclencher des workflows d'approbation ; le flux d'élicitation permet des points de pause qui n'existaient pas auparavant
• La visibilité en temps d'exécution est critique - Les entreprises ont besoin de journaux d'audit significatifs pouvant prouver la conformité et se défendre contre les accusations d'attaques sur la chaîne d'approvisionnement
• Attendez-vous à plus de fournisseurs de sécurité - Similaire à l'évolution de la sécurité cloud, des outils tiers émergeront pour renforcer les capacités natives de sécurité des agents IA

Vision d'ensemble

MCP 2.0 représente la première tentative sérieuse de l'industrie pour sécuriser les agents IA en production, mais ce n'est que le début. Pour les organisations déployant des agents capables d'effectuer des actions réelles, modifier des fichiers, déplacer des données, interagir avec des systèmes, le protocole fournit des garde-fous, pas des garanties. La leçon pratique : traitez la sécurité des agents IA comme vous avez traité la sécurité cloud il y a dix ans, et budgétisez l'outillage spécialisé qui sera inévitablement nécessaire.