Votre IA est-elle conforme ? Inscrivez-vous dès aujourd'hui

Industrie

Votre utilisateur le plus dangereux n'est pas humain : Comment les agents IA et les serveurs MCP ont brisé le jardin clos des API internes

February 19, 2026

Eric Schwake
Head of Product Marketing

Points clés

  • Le périmètre est poreux : L'IA agentique moderne et le protocole de contexte de modèle (MCP) ont effectivement bouleversé les centres de données internes, rendant obsolète le modèle de sécurité des "API internes".
  • Le risque du "député confus" : Les agents IA légitimes agissent comme des entités internes de confiance, mais peuvent être exploités pour contourner les politiques de prévention des pertes de données (DLP), comme on l'a vu dans de récentes vulnérabilités de Microsoft Office.
  • Au-delà du WAF : Les WAF et les passerelles API traditionnels sont aveugles au trafic latéral "Est-Ouest" et ne peuvent pas détecter les anomalies comportementales subtiles inhérentes aux interactions IA-API.
  • La défense à trois piliers de Salt : Pour sécuriser la couche d'action agentique, les organisations ont besoin d'une découverte continue, d'une gouvernance adaptative et d'une protection comportementale basée sur l'intention.

Le mois dernier, Microsoft a discrètement confirmé quelque chose qui devrait empêcher chaque RSSI de dormir.

Comme l'a d'abord rapporté BleepingComputer et détaillé plus tard par TechCrunch, un bug dans Microsoft Office a permis à Copilot, l'assistant IA intégré dans des millions d'environnements d'entreprise, de résumer des e-mails confidentiels et de les remettre à des utilisateurs qui n'avaient pas le droit de les voir. Étiquettes de sensibilité ? Ignorées. Politiques de prévention des pertes de données (DLP) ? Complètement contournées.

Ce n'était pas l'œuvre d'un hacker ou d'un logiciel malveillant. C'était un outil interne de confiance faisant exactement ce pour quoi il avait été conçu : traiter des données. L'IA n'a pas pénétré le système. Elle était déjà à l'intérieur.

Obtenez le dernier rapport : L'état de la sécurité de l'IA et des API : Naviguer dans l'ère agentique

L'illusion de la zone de sécurité interne

Pendant des années, les équipes de sécurité ont opéré sous une hypothèse rassurante : les API internes sont sûres parce qu'elles se trouvent derrière la passerelle. Nous avons remis en question ce mythe dans notre dernier Guide pratique, mais l'incident Microsoft prouve que la réalité est bien plus volatile.

Lorsque vous déployez un agent IA, vous confiez à une entité hautement privilégiée les clés de vos données internes. Vous lui faites confiance pour respecter chaque politique d'accès, étiquette de sensibilité et limite d'autorisation que vous avez établies. Quand ce n'est pas le cas : quand il traite incorrectement un contexte ou interprète mal une étiquette, il n'y a pas d'alarme. Aucune requête bloquée en périphérie. Juste des données sensibles, silencieusement servies à la mauvaise personne.

L' « Adjoint confus » est déjà à votre service

Les chercheurs en sécurité appellent cela le problème de l'adjoint confus. Il se produit lorsqu'une entité de confiance ayant un accès légitime est trompée (ou simplement mal configurée) et agit contre vos intérêts.

Avec l'avènement du Model Context Protocol (MCP), ce problème est sur le point de s'aggraver considérablement. Le MCP est le « USB-C de l'IA », conçu pour permettre aux agents de se connecter à n'importe quelle source de données interne avec une facilité universelle. Pour la productivité, c'est une avancée majeure. Pour la sécurité, c'est un cauchemar : chaque connexion MCP est un nouveau pipeline qui contourne entièrement votre périmètre.

Un développeur lance un serveur MCP pour permettre à un agent IA d'interroger une base de données clients. Cet agent dispose désormais d'une connexion directe et authentifiée aux données sensibles. Il ne traverse pas votre passerelle API. Il ne passe pas par votre WAF. Il communique simplement avec les données, au plus profond de votre réseau, dans une conversation que votre pile de sécurité ne voit jamais.

Pourquoi votre WAF surveille la mauvaise porte

Voici la vérité qui dérange : votre WAF et votre passerelle API ont été conçus pour un monde qui n'existe plus.

Ils analysent Trafic Nord-Sud : les requêtes provenant du monde extérieur. Ils sont excellents pour détecter les signatures d'attaques connues qui frappent à votre porte d'entrée. Mais la faille de Microsoft Copilot n'est pas passée par la porte d'entrée. Elle s'est produite dans les couloirs.

Trafic Est-Ouest : la communication latérale entre les microservices, les agents IA et les magasins de données, est l'endroit où réside désormais le véritable risque. Les outils de périmètre traditionnels y sont complètement aveugles. La vulnérabilité de Copilot n'était pas une charge utile malveillante ; c'était un échec de validation de contexte. Aucune signature à détecter. Aucune anomalie en périphérie. Au moment où quelque chose aurait pu être signalé, les données étaient déjà exposées.

Sécuriser les conversations que vous ne pouvez pas voir

Pour arrêter ces risques, il faut une approche fondamentalement différente : une approche qui dépasse la défense périmétrique et s'étend à la couche d'action agentique où les agents d'IA opèrent réellement.

  • Visibilité complète : Vous ne pouvez pas protéger des connexions dont vous ignorez l'existence. Salt découvre automatiquement chaque serveur MCP, chaque pont IA-données et chaque agent fantôme qu'un développeur a mis en place sans en informer la sécurité. La découverte continue est le seul fondement d'une gouvernance de l'IA.
  • Mettre en œuvre une gouvernance à la vitesse de la machine : Les agents d'IA ne devraient pas disposer d'un accès illimité. Salt applique une gouvernance adaptative aux identités machine-à-machine, garantissant qu'un agent ne peut appeler que les API spécifiques dont il a besoin. Cela arrête les « mandataires confus » avant qu'ils n'atteignent des données sensibles.
  • Surveiller l'intention, pas seulement le trafic : Les outils traditionnels ne peuvent pas lire l'intention d'une conversation. L'analyse d'intention brevetée de Salt établit une base de référence de ce qui est normal pour chaque agent. Un agent qui traite habituellement dix e-mails en résume soudainement des milliers ? C'est une anomalie comportementale. Salt signale et bloque ces menaces basées sur la logique en temps réel.

La fin du modèle de confiance interne

La leçon à tirer de l'incident Microsoft n'est pas seulement que Copilot avait un bug. Les erreurs, ça arrive. La véritable leçon est que l'architecture de l'IA moderne : des agents opérant au plus profond de réseaux de confiance, consommant des API à grande échelle, prenant des décisions contextuelles de manière autonome, a fondamentalement brisé le modèle de confiance interne.

Vos utilisateurs les plus privilégiés ne sont plus humains. Votre périmètre est une fiction. Et la seule défense qui fonctionne est la compréhension de l'intention.

Chaque API est désormais une API de périphérie. La seule question est de savoir si vous pouvez voir ce qui se passe à cette périphérie.

Si vous souhaitez en savoir plus sur Salt et comment nous pouvons vous aider, veuillez nous contacter, demander une démonstration, ou visiter notre site web. Vous pouvez également obtenir une évaluation gratuite de la surface d'attaque API de l'équipe de recherche de Salt Security et découvrir ce que les attaquants savent déjà.

Blog de Salt Security

Inscrivez-vous à la newsletter Salt pour recevoir les dernières ressources et articles de blog.

Nos derniers articles