UrbaHiveUrbaHive
    Intelligence Artificielle

    MCP et sécurité : lecture seule, RGPD et conformité SI

    Connecter un assistant IA à votre SI via MCP sans compromettre la sécurité : lecture seule, multi-tenant, hébergement UE et conformité RGPD. Découvrez l'approche UrbaHive.

    8 juin 2026
    7 min de lecture
    F

    Frédéric Le Bris

    CEO & Co-fondateur

    Interroger son système d'information en langage naturel — « Quelles applications dépendent de notre ERP ? », « Quels processus passent par Salesforce ? » — est désormais possible grâce au standard MCP (Model Context Protocol). Mais dès qu'on parle de connecter un assistant IA à des données internes, les questions de sécurité surgissent légitimement. Cet article répond aux objections les plus fréquentes des DSI et des RSSI, et explique comment UrbaHive a conçu son connecteur MCP pour rester dans les clous du RGPD, de NIS2 et de DORA.

    Pourquoi les DSI et RSSI s'interrogent sur la sécurité du MCP

    Le Model Context Protocol permet à un modèle de langage (LLM) de requêter une source de données externe en temps réel. Dans le contexte de la cartographie SI, cela signifie que Claude peut interroger votre référentiel d'architecture pour répondre à des questions métier concrètes.

    Trois inquiétudes reviennent systématiquement :

    1. L'IA va-t-elle pouvoir modifier mes données ? Un assistant mal configuré pourrait théoriquement créer, éditer ou supprimer des éléments de votre cartographie.
    2. Où transitent les données ? Si le serveur MCP est hébergé hors de l'Union européenne, les données de votre SI circulent hors du périmètre RGPD.
    3. Qui accède à quoi ? Dans un environnement multi-tenant, un token compromis peut-il exposer les données d'autres organisations ?

    Ces questions sont légitimes. Elles méritent des réponses précises, pas des généralités rassurantes.

    Principe 1 : accès strictement en lecture seule

    Le connecteur MCP d'UrbaHive est conçu en lecture seule par architecture. Cela signifie que le protocole MCP expose uniquement des opérations de type GET : lister des applications, lire une fiche serveur, interroger un processus métier. Aucune route d'écriture, de mise à jour ou de suppression n'est exposée côté MCP.

    En pratique : même si un modèle IA tentait d'envoyer une requête de modification, le serveur MCP la rejetterait au niveau du protocole. Il ne s'agit pas d'une restriction de configuration, mais d'une contrainte d'implémentation volontaire.

    Ce choix repose sur le principe du moindre privilège, recommandé par l'ANSSI et inscrit dans les guides de sécurité des systèmes d'information. Pour une utilisation analytique — comprendre son SI, préparer un audit, onboarder un nouveau collaborateur — la lecture seule est largement suffisante.

    Principe 2 : isolation multi-tenant stricte

    UrbaHive est une plateforme SaaS multi-tenant. Chaque organisation dispose de son propre espace de données isolé. Le Personal Access Token (PAT) généré pour le connecteur MCP est lié à une organisation unique : il ne peut jamais traverser les frontières d'un tenant vers un autre.

    Concrètement :

    • Un token généré pour l'organisation A ne peut interroger que les données de l'organisation A.
    • La révocation du token est instantanée depuis l'interface UrbaHive.
    • Les tokens ont une durée de vie paramétrable, conformément aux bonnes pratiques de gestion des secrets.

    Cette architecture répond directement aux exigences de cloisonnement des données prévues par le RGPD (article 25, privacy by design) et aux recommandations des référentiels de sécurité comme ISO 27001.

    Principe 3 : journal d'audit complet

    Chaque appel MCP — chaque question posée par l'assistant IA — est journalisé dans le journal d'audit d'UrbaHive. Le log contient : l'horodatage, l'identifiant du token, l'endpoint interrogé et le résultat renvoyé (succès ou erreur).

    Cette traçabilité est essentielle pour :

    • Démontrer la conformité lors d'un contrôle RGPD ou d'un audit NIS2
    • Détecter un usage anormal (volume de requêtes inhabituel, accès à des données sensibles hors contexte)
    • Répondre aux exigences de log des accès aux données personnelles

    Pour les organisations soumises à DORA ou NIS2, cette journalisation s'inscrit directement dans les obligations de surveillance et de reporting des accès aux systèmes critiques. Nous en parlons en détail dans nos articles dédiés à NIS2 et cartographie SI et à DORA pour le secteur financier.

    Principe 4 : hébergement en Europe, souveraineté des données

    Le serveur MCP d'UrbaHive est hébergé exclusivement dans des datacenters européens, conformément à notre engagement de souveraineté des données. Aucune donnée de votre cartographie SI ne transite par des serveurs situés hors de l'UE.

    Ce point est décisif pour les organisations qui :

    • Opèrent dans des secteurs réglementés (banque, assurance, santé, administration)
    • Ont adopté une politique de cloud souverain ou de préférence UE
    • Doivent justifier leur chaîne de sous-traitance dans le cadre du RGPD (article 28, contrat de sous-traitance)

    UrbaHive est en mesure de fournir un Data Processing Agreement (DPA) conforme RGPD, ainsi que la liste des sous-traitants impliqués dans la chaîne de traitement.

    Ce que le MCP ne fait pas — les limites à connaître

    La transparence oblige à mentionner ce que le connecteur MCP ne couvre pas :

    • Il ne chiffre pas les données dans Claude. Une fois les données transmises au modèle de langage (Anthropic), elles sont soumises à la politique de confidentialité d'Anthropic. UrbaHive recommande de ne pas exposer via MCP des données personnelles ou des informations classifiées.
    • Il ne remplace pas une revue d'architecture humaine. Les réponses de l'IA sont un point de départ, pas une décision finale.
    • La sécurité du poste client est hors périmètre. Si le token PAT est stocké en clair sur un poste non sécurisé, le risque vient de là.

    Pour aller plus loin sur l'articulation entre cartographie SI et cybersécurité, consultez notre article cartographie SI et RSSI.

    Comment activer le connecteur MCP sur UrbaHive

    La mise en place prend moins de dix minutes :

    1. Connectez-vous à votre espace UrbaHive et accédez à Paramètres > Connecteurs IA.
    2. Générez un Personal Access Token (PAT) — choisissez sa durée de vie.
    3. Copiez la configuration JSON fournie.
    4. Collez-la dans Claude Desktop (fichier claude_desktop_config.json) ou dans les paramètres MCP de claude.ai.
    5. Posez votre première question en langage naturel.

    Les plans Starter (29 €/mois) et Professional (99 €/mois) incluent l'accès au connecteur MCP. Le plan Free permet de tester la fonctionnalité avec des limitations.

    Conclusion

    Connecter un assistant IA à votre cartographie SI via MCP est une démarche qui peut être menée de façon rigoureuse et sécurisée, à condition de choisir une implémentation qui respecte quatre principes : lecture seule, isolation tenant, traçabilité complète et hébergement européen. C'est précisément ce qu'UrbaHive a construit.

    Pour les DSI et RSSI qui souhaitent avancer sans concession sur la sécurité, le connecteur MCP d'UrbaHive offre une voie concrète vers une IA utile, auditée et conforme.

    Créez votre compte UrbaHive gratuitement et configurez votre connecteur MCP en moins de dix minutes.

    FAQ

    Le connecteur MCP peut-il écrire ou modifier des données dans UrbaHive ?

    Non. Le connecteur MCP d'UrbaHive est strictement en lecture seule par conception. Aucune opération d'écriture, de mise à jour ou de suppression n'est exposée via le protocole MCP.

    Mes données de cartographie SI quittent-elles l'Union européenne ?

    Les données transitent par le serveur MCP d'UrbaHive, hébergé en Europe. Elles sont ensuite transmises au modèle de langage (Anthropic), dont les serveurs sont aux États-Unis. UrbaHive recommande de ne pas exposer de données personnelles ou classifiées via le connecteur MCP.

    Comment révoquer un token MCP si je suspecte une compromission ?

    Depuis l'interface UrbaHive (Paramètres > Connecteurs IA), la révocation est immédiate. Le token est invalidé en temps réel ; toute requête ultérieure avec ce token sera rejetée.

    Le journal d'audit MCP est-il accessible à mes équipes sécurité ?

    Oui. Les logs MCP sont intégrés au journal d'audit UrbaHive, accessible aux administrateurs de l'organisation. Ils peuvent être exportés pour intégration dans un SIEM ou pour répondre à une demande d'audit.

    Le connecteur MCP est-il compatible avec NIS2 et DORA ?

    Les mécanismes de traçabilité, d'isolation des données et d'hébergement européen d'UrbaHive s'inscrivent dans les exigences de NIS2 et DORA. Consultez nos guides NIS2 et DORA pour le détail des exigences.

    Liens internes :

    Tags:
    MCP
    sécurité
    RGPD
    lecture-seule
    conformité

    Prêt à transformer votre gestion IT ?

    Découvrez comment UrbaHive peut vous aider.

    Essai gratuit