Le Model Context Protocol (MCP), s’est imposé comme la nouvelle norme pour connecter les modèles d’IA aux outils externes, avec désormais un registre officiel en préversion depuis le 9 septembre 2025.
À retenir
- Le Registre MCP officiel, en préversion depuis le 9 septembre 2025, centralise la découverte des serveurs MCP via une API OpenAPI, avec modération et deny-listing.
- Agentgateway, projet soutenu par la Linux Foundation, agit comme un plan de données sécurisé pour gouverner les interactions entre agents IA, outils et LLM.
- Des vulnérabilités critiques (exécutions de code à distance, fuites de données) ont été détectées en juin 2025 sur des serveurs MCP mal configurés (Atlassian, Asana).
- 90 % des organisations devraient adopter MCP d’ici fin 2025, selon les estimations, avec des cas d’usage comme l’automatisation DevOps via Docker Hub MCP Server.
- Les défis incluent la gouvernance des registres fédérés, l’authentification dynamique (Dynamic Client Registration) et l’audit des permissions déléguées.
MCP : un protocole universel pour désenclaver les modèles d’IA
Concrètement, MCP définit un format standardisé pour échanger des données entre un client MCP (le modèle d’IA) et un serveur MCP (l’outil ou la source de données). Le protocole utilise JSON-RPC pour les appels distants et s’appuie sur des manifestes décrivant les capacités du serveur (par exemple, accéder à une base de données ou exécuter une commande Docker). Cette approche permet aux modèles d’IA de découvrir dynamiquement les outils disponibles et d’interagir avec eux sans configuration manuelle.
Le registre MCP : une source de vérité pour la découverte
Le 9 septembre 2025, l’écosystème MCP a franchi une étape majeure avec le lancement en préversion du Registre MCP officiel (registry.modelcontextprotocol.io). Ce registre agit comme un catalogue centralisé où les développeurs publient et découvrent des serveurs MCP, avec une API OpenAPI pour l’interrogation programmatique. Son architecture repose sur trois piliers :
- Découverte fédérée : le registre sert de « source de vérité primaire », mais permet aux places de marché publiques (comme GitHub) ou aux registres privés d’entreprise de le répliquer et l’étendre.
- Modération proactive : un système de deny-listing bloque les serveurs non conformes ou malveillants, tandis qu’une équipe valide les nouvelles entrées.
- Métadonnées enrichies : chaque serveur est décrit par son manifeste (capacités, politiques d’accès, version du protocole), facilitant le filtrage par les clients.
Pour les développeurs, l’intégration se simplifie : une requête API suffit pour lister les serveurs compatibles avec un critère (ex : « outils pour la gestion de projet »), puis les installer automatiquement dans leur environnement. Exemple : un agent IA utilisant Claude 3.5 peut interroger le registre pour trouver un serveur MCP permettant d’interagir avec Jira, puis l’intégrer en une commande.
Cependant, cette préversion reste instable : aucune garantie de durabilité n’est offerte, et des modifications rétro-incompatibles (breaking changes) peuvent survenir. La feuille de route prévoit une version stable d’ici fin 2025, avec des mécanismes de versioning stricts et des métadonnées étendues (ex : scores de confiance pour les serveurs).
Agentgateway et MCP Gateway : sécuriser les interactions des agents IA
La sécurité et l’observabilité sont des enjeux critiques pour MCP, surtout dans un contexte où les agents IA agissent de manière autonome. Deux solutions émergent pour y répondre : Agentgateway (porté par la Linux Foundation) et MCP Gateway (développé par Solo.io).
Agentgateway : un plan de données pour les systèmes agentiques
Agentgateway, accepté dans le portefeuille de la Linux Foundation en 2025, se présente comme le premier plan de données dédié aux agents IA. Il fonctionne comme un proxy entre les agents, les outils et les LLM, appliquant des politiques centralisées :
- Authentification/autorisation (AuthN/Z) : contrôle d’accès granulaire via RBAC (rôles et permissions).
- Limites de débit : prévention des abus (ex : requêtes massives vers une API).
- Inspection des requêtes : analyse du trafic pour détecter des comportements anormaux.
- Télémétrie : export des logs et métriques vers OpenTelemetry pour l’audit.
Son architecture supporte des protocoles émergents comme A2A (Agent-to-Agent) et MCP, offrant une couche unifiée pour gouverner les interactions. Par exemple, une entreprise peut utiliser Agentgateway pour restreindre un agent IA à certain outils Salesforce en fonction de son rôle, tout en traçant ses actions.
MCP Gateway : simplifier l’intégration et le multiplexage
Lancé en avril 2025 par Solo.io, MCP Gateway est intégré à kgateway (un API gateway pour Kubernetes) et vise à automatiser la détection et l’enregistrement des serveurs MCP. Ses fonctionnalités clés :
- Registre centralisé : agrège les serveurs MCP disponibles en un point d’accès unique.
- Multiplexage MCP : virtualise plusieurs outils en un seul serveur MCP « logique », réduisant la complexité pour les clients.
- Contrôles unifiés : applique des politiques d’authentification (ex : OAuth2) et des limites de taux à tous les appels d’outils.
- Observabilité : fournit des métriques, logs et traces centralisés pour le monitoring.
Un cas d’usage typique : une équipe plateforme déploie MCP Gateway pour exposer en toute sécurité des outils internes (comme un système de tickets) à des agents IA, sans modifier le code des applications sous-jacentes. Les développeurs n’ont plus qu’à pointer leur client MCP vers le gateway, qui gère la routage et la sécurité.
Adoption massive et défis de sécurité : où en est l’écosystème MCP ?
Une croissance fulgurante, portée par les géants de l’IA
En moins d’un an, MCP est devenu un standard de facto pour l’intégration des modèles d’IA. Les chiffres clés :
- 90 % des organisations devraient l’adopter d’ici fin 2025, selon les projections.
- Microsoft, Google et OpenAI supportent déjà le protocole pour leurs modèles (GPT-4, Gemini, Claude).
- Docker Hub MCP Server permet aux agents IA d’interagir avec des conteneurs, automatisant des tâches DevOps comme le déploiement d’applications.
- Des places de marché tierces émergent, comme celle de GitHub, pour héberger des serveurs MCP communautaires.
Les gains sont tangibles :
- Réduction des coûts
- Précision accrue : les modèles accèdent à des données contextuelles en temps réel, améliorant leurs réponses (ex : un agent IA utilisant MCP pour vérifier des stocks en direct avant de proposer une commande).
- Autonomie des agents : MCP est un pilier des systèmes « agentiques », capables d’enchaîner des actions sans intervention humaine (ex : réserver un vol, mettre à jour un CRM, envoyer une confirmation).
Vulnérabilités et risques : l’ombre au tableau
Malgré ses promesses, MCP introduit de nouveaux vecteurs d’attaque, comme l’ont révélé des incidents en juin 2025 :
- Serveurs mal configurés : des centaines de serveurs MCP exposaient des modèles à des exécutions de code à distance (RCE), permettant à des acteurs malveillants de prendre le contrôle.
- Fuites de données : des implémentations défectueuses chez Atlassian et Asana ont permis d’exfiltrer des identifiants et des configurations.
- Supply chain attacks : des serveurs MCP non vérifiés peuvent injecter du code malicieux dans les workflows des agents IA.
Les causes racines :
- Absence de validation stricte : le registre MCP en préversion ne vérifie pas systématiquement la sécurité des serveurs listés.
- Dynamic Client Registration (DCR) anonyme : la spécification MCP permet à des clients non authentifiés de s’enregistrer dynamiquement, compliquant l’audit.
- Manque de standards pour les autorisations déléguées : aucun mécanisme unifié n’existe pour gérer les permissions lors d’appels en cascade (ex : un agent IA appelant un outil qui en appelle un autre).
Pour limiter ces risques, des solutions se dessinent :
- Secure Elicitations : une proposition en discussion pour standardiser l’obtention d’autorisations sécurisées.
- RBAC étendu : Agentgateway et MCP Gateway intègrent des contrôles d’accès avancés, mais leur maturité varie selon les implémentations.
- Audit automatisé : des outils comme OpenTelemetry permettent de tracer les interactions, mais nécessitent une configuration rigoureuse.
Gouvernance et conformité : le casse-tête des entreprises
Pour les organisations, adopter MCP implique de résoudre trois défis majeurs :
- Curation des registres : comment garantir que seuls des serveurs approuvés sont utilisés ? Certaines entreprises déploiement des sous-registres privés, répliquant une sélection validée du registre public.
- Dérive de schéma : les différences entre les métadonnées des registres publics et privés peuvent causer des incompatibilités. Des outils comme MCP Gateway aident à normaliser ces écarts.
- Conformité réglementaire : MCP doit s’aligner sur des frameworks comme le RGPD (pour les données personnelles) ou NIS2 (pour la cybersécurité critique en Europe). Par exemple, un serveur MCP manipulant des données clients doit implémenter des mécanismes de consentement explicite.
Des initiatives sont en cours pour répondre à ces enjeux :
- La CNCF (Cloud Native Computing Foundation) explore l’intégration de MCP avec des standards comme SPIFFE pour l’identité des services.
- Solo.io travaille sur des politiques de sécurité par défaut pour MCP Gateway, incluant des règles de rate limiting et des schémas de validation automatiques.
- Un groupe de travail sur la sécurité MCP a été lancé en août 2025, réunissant Anthropic, Google et des experts en cybersécurité.
Tableau comparatif : MCP vs. alternatives et outils complémentaires
| Critère | Model Context Protocol (MCP) | Plugins propriétaires (OpenAI, Anthropic) | LangChain / LlamaIndex | Agentgateway | MCP Gateway |
|---|---|---|---|---|---|
| Type | Protocole ouvert et standardisé | Solutions fermées, spécifiques à un modèle | Bibliothèques open-source pour orchestration | Plan de données pour gouvernance des agents | API Gateway pour MCP (routage et sécurité) |
| Interopérabilité | ✅ Universel (Claude, GPT-4, Gemini, etc.) | ❌ Limitée au modèle du fournisseur | ⚠️ Dépend des connecteurs implémentés | ✅ Supporte MCP, A2A et autres protocoles | ✅ Spécifique à MCP, avec multiplexage |
| Découverte des outils | ✅ Registre centralisé + fédéré | ❌ Pas de mécanisme standard | ⚠️ Via des marketplaces communautaires | ❌ Nécessite une configuration manuelle | ✅ Intègre le registre MCP |
| Sécurité | ⚠️ Modération basique (deny-listing) | ✅ Contrôlée par le fournisseur | ❌ Dépend de l’implémentation | ✅ AuthN/Z, RBAC, observabilité (OpenTelemetry) | ✅ Authentification unifiée, limites de débit |
| Observabilité | ❌ Non intégrée (dépend des outils) | ⚠️ Partielle (logs propriétaires) | ⚠️ Via des intégrations tierces | ✅ Télémétrie native (traces, métriques) | ✅ Logs et métriques centralisés |
| Cas d’usage principaux | Intégration universelle, systèmes agentiques | Extensions limitées (ex : recherche web) | Orchestration de workflows complexes | Gouvernance des interactions agent-outil | Sécurisation et routage des requêtes MCP |
| Coût | ✅ Open-source (pas de licence) | ⚠️ Payant pour certains plugins | ✅ Open-source (coût d’intégration) | ✅ Open-source (Linux Foundation) | ✅ Open-source (Solo.io) |
| Maturité | ⚠️ Préversion (sept. 2025), évolutions à venir | ✅ Stable (mais fermé) | ✅ Stable, mais complexe à maintenir | ⚠️ En développement actif | ⚠️ Version bêta (avril 2025) |
Verdict : MCP s’impose, mais la prudence reste de mise
MCP représente une avancée majeure pour désenclaver les modèles d’IA et accélérer leur intégration aux outils métiers. Cependant, les risques de sécurité (serveurs mal configurés, attaques sur la supply chain) et les défis de gouvernance (curation des registres, conformité RGPD) nécessitent une approche méthodique :
- Pour les développeurs : privilégier les serveurs MCP vérifiés et utiliser Agentgateway ou MCP Gateway pour appliquer des politiques de sécurité.
- Pour les entreprises : déployer des sous-registres privés et auditer les flux via OpenTelemetry.
- Pour les fournisseurs de modèles : contribuer aux groupes de travail sur la sécurité MCP (ex : Secure Elicitations).
À court terme, MCP est la meilleure option pour les intégrations IA, mais son succès dépendra de la résolution des failles actuelles et de l’émergence de standards complémentaires (comme ceux discutés au sein de la CNCF). Les alternatives propriétaires (plugins OpenAI) ou open-source (LangChain) restent pertinentes pour des cas d’usage spécifiques, mais aucune n’offre la portabilité et l’extensibilité de MCP. À surveiller : la sortie de la version stable du registre (prévue fin 2025) et les annonces de la Linux Foundation sur Agentgateway.
