Concrètement, qu'est-ce que l'AppSec MCP-native ?

MCP signifie Model Context Protocol, le standard ouvert qui permet aux agents de code IA (Claude Code, Cursor, Windsurf, GitHub Copilot, Gemini CLI) d'appeler des outils externes en cours de session. CybeDefend s'enregistre comme serveur MCP. Quand votre agent s'apprête à écrire ou modifier du code, il appelle l'outil MCP de CybeDefend, qui lance nos scanners SAST avec reachability, SCA, IaC, secrets et logique métier sur ce diff en moins de 1,2 seconde. L'agent reçoit le verdict de sécurité, avec une suggestion de fix, avant de proposer la ligne. C'est fondamentalement différent du SAST post-commit : la sécurité tourne dans la boucle de l'agent, au moment de la création, pas après l'ouverture de la PR. Pas de configuration YAML, pas d'étape CI séparée, pas de réunion de revue. L'agent applique votre politique de sécurité comme il applique votre style de code : automatiquement, dans le prompt, avant la première sauvegarde.

En quoi est-ce différent d'un scanner SAST classique ?

Le SAST legacy s'exécute sur les commits et noie l'équipe dans 95 % de faux positifs. Nous tournons à agent-time, sur le diff que votre agent s'apprête à pousser, avec reachability et conscience du framework. Même moteur, autre surface, 1/10ᵉ du bruit.

Quels agents IA sont supportés ?

Claude Code, Cursor, Windsurf, GitHub Copilot, Gemini CLI, Cline, Continue.dev et Zed. Plus un serveur MCP générique pour tout ce qui parle MCP.

Peut-on s'auto-héberger ? Et la résidence des données ?

Oui. Self-host sur l'offre Enterprise (image OCI unique ou tar air-gapped). Les régions EU et US sont entièrement isolées, vous choisissez où vivent vos données. SAS française basée à Lille, hébergement à Frankfurt pour l'EU et en Virginie pour l'US.

Security Reviewis dead.Vibe-coding rewrote the rules.

Votre agent IA livre 500 lignes pendant que vous lisez les 20 premières. Aucun humain ne peut auditer ça. La sécurité rejoint le prompt.

Réserver une démo de 20 min

Voir le tour de 2 min de la plateforme, au-delà du MCP

Natif dans

Claude CodeCybeDefend MCP

live

$

Soutenu par

L’heure des comptes

Le problème n’est pas que l’IA écrit du code.
Le problème, c’est que personne ne sait plus le lire .

Un dev senior ne pouvait pas auditer 200 lignes par jour. Aujourd’hui l’agent en livre 5 000. Vous n’avez pas besoin d’une meilleure review. Vous avez besoin de sécurité au moment de la création.

70%+

du nouveau code dans les orgs AI-native est écrit par l’IA aujourd’hui

Anysphere · Anthropic · déclarations publiques · 2025-2026

43%

des vulnérabilités API exploitent la logique, pas des CVE

Wallarm · 2026 API ThreatStats

100×

le coût d’un fix en production vs. au prompt

Consensus industriel · NIST 02-3

Pourquoi maintenant

Trois ans. Trois paradigmes. Votre stack AppSec est restée en 2023.

Chaque époque a ajouté un ordre de grandeur au code que personne ne relit. Les outils, eux, n’ont pas bougé.

Étape 01 · Ère Suggest

2023

Copilot souffle. SAST scanne la nuit.

Les devs acceptent les suggestions plus vite que les relecteurs ne les lisent. L’AppSec court derrière un code que les humains n’écrivent déjà plus. Lent, mais au moins auditable.

Sortie IA: lignes / jour
Review: humaine
Garde-fou: CI nocturne

Étape 02 · Ère Act

2025

Les agents pilotent. Les relecteurs décrochent.

Cursor, Claude Code, Windsurf écrivent des features entières. SAST toujours boulonné à la CI. Les failles métier passent plus vite que n’importe quel humain ne les flague, plus vite qu’aucun job nocturne ne les attrape.

Sortie IA: 1k+ LOC / jour
Review: outils à la traîne
Garde-fou: CI post-merge

Étape 03 · Ère Debt

2026

vous êtes ici

L’agent livre seul. Vous héritez de la dette.

5 000 LOC / jour à travers vos services. Les failles métier s’accumulent. Le pipeline est à la fois le goulot et l’angle mort. Les équipes AppSec partent plus vite que les vulns ne sortent. Vous êtes ici.

Sortie IA: 5k LOC / jour
Review: agent-time
Garde-fou: dans le prompt

La fondation

Les scanners chassent des patterns.
Nous avons cartographié votre métier
dans un graphe.

paradigme renverséScannersPattern-matchers. Réactifs. Tournent après coup.CybeKnowledge graph. Pré-construit. Interrogé avant la ligne.

Cybe indexe votre codebase une fois dans un Security Code Knowledge Graph : fichiers, fonctions, appels, tenants, chemins de paiement, chaque règle que vous appliquez déjà. Puis l’agent l’interroge au lieu de grepper le diff.

Les pattern-matchers scannent des strings après que la ligne soit écrite. Cybe répond depuis une carte sémantique avant que la ligne ne soit suggérée.

agent cybe · calcul du graphe…

service·service cœur

payouts.ts

note de l’agent

Module de service. Porte les règles métier qui déplacent l’argent : validation, mise à jour du ledger, effets de bord de risque. Le graphe route la plupart des requêtes par ici ; le toucher déclenche le pack de règles le plus strict.

écritures transactionnelleshook risque requisaucun chemin de raccourci

appelé par

appelle

fichiers: 156
fonctions: 98
arêtes: 218
règles: 42

Shift-left, par défaut

La sécurité rejoint le prompt.
Pas la pull request.

Partout où votre équipe écrit et livre du code, IDE, terminal, agent, pipeline. Cybe est déjà dedans.

01 · Agents7 natifs

Agents de code IA

Cybe tourne en serveur MCP au cœur de la boucle agent. Verdict avant que la ligne ne soit suggérée.

Claude Code · Cursor · Windsurf · Cline · Zed · Google Antigravity · Continue

02 · Éditeurs5 éditeurs

IDE & éditeurs

VS Code, Cursor, Windsurf, JetBrains, Antigravity. Review du diff inline, verdict en moins de 100 ms.

Visual Studio Code · Cursor · Windsurf · Google Antigravity · JetBrains

03 · Pipelines9 moteurs

CI / CD & pipelines

SARIF natif partout. Blocage en PR, patch signé, override auditée.

GitHub · GitLab · Azure Pipelines · Jenkins · Azure DevOps · Bitbucket · CircleCI · TeamCity · Atlassian Bamboo

Ce que les scanners ne voient jamais

Huit failles que seul l’agent peut attraper. Tuées avant la première sauvegarde.

43 % des vulnérabilités API exploitent la logique métier, pas des CVE (Wallarm 2026 API ThreatStats). Voici les huit que votre scanner ne flague pas, et que Cybe réécrit à l’agent-time.

Cliquez sur une carte pour voir le diff

Autopilot

Zéro YAML. Vos règles, extraites de votre propre code.

“Mais qui écrit toutes ces règles ?” Nous. Autopilot lit votre graphe, fait remonter les patterns que vous appliquez déjà, les esquisse en candidats. Aucun ingénieur sécurité requis.

01
Parcourir le graphe
Cybe traverse vos imports, appels, tenants, routes, chaque frontière que vous appliquez déjà.
02
Esquisser des règles candidates
Les patterns émergent en règles sans YAML : nom, scope, sévérité, références de code.
03
Accepter · éditer · rejeter
Vous gardez la main. Review règle par règle, batch-accept de celles auxquelles vous faites confiance, le reste à la corbeille.

CybeDefend Autopilot · Rule candidatesAutopilotscanning · 3 candidates3

Proposed rule01·Multi-tenancy

Every query on db.orders filters by tenantId

Found in 42 of 43 occurrences across 16 files · confidence 94% · category multi-tenancy

Gap detected·src/handlers/export.ts:17 doesn't comply

Accept ruleEdit scopeReject

Proposed rule02·Authorisation ceiling

Refunds over €500 require role finance.manager

Found in 7 of 8 occurrences across 4 files · confidence 87% · category SoD · authorisation

Gap detected·src/handlers/refund.ts:22 doesn't comply

Accept ruleEdit scopeReject

Proposed rule03·Audit logging

Every payment mutation writes audit.log(actor, amount)

Found in 31 of 34 occurrences across 11 files · confidence 91% · category compliance · audit trail

Gap detected·src/handlers/payouts.ts:54, +2 more

Accept ruleEdit scopeReject

The shift

La stack AppSec des années 2010 n’a jamais été conçue pour un monde où l’IA écrit la moitié du code.

Comparez ligne pour ligne : qui ils sont, ce qu’ils livrent, et là où nous les remplaçons.

Années 2010 · La stack legacy

Conçue pour un monde où c’étaient des humains qui écrivaient le code.

Lit la syntaxe (Checkmarx, Sonar). Aveugle à l’intention, aveugle à la logique métier.
Jusqu’à 99 % de faux positifs. 21 000 heures d’ingénierie cramées par an.
Tarification par siège (jusqu’à 15 000 $/utilisateur/an chez Veracode). Taxe sur la croissance.
Aveugle aux agents IA. Rien entre le prompt et la PR.
Tourne en CI, après coup. Les devs voient les findings des heures plus tard.
Six ou sept éditeurs, six ou sept dashboards, six ou sept factures.
Conseils génériques. Aucune idée de ce que fait réellement votre codebase.

2026 · La méthode CybeDefend

AppSec à l’agent-time. Une seule couche. Dans le prompt.

Lit l’intention. Fuites de tenant, contournement de remboursement, PII, idempotence, violations SoD, les failles logiques que les scanners syntaxiques ratent.
95 % du bruit filtré. Scoring de reachability sur le graphe, pas du ligne par ligne aveugle.
Un abonnement plat unique. Ni par siège, ni par repo. Toute l’entreprise incluse.
Six moteurs dans un seul graphe. SAST · SCA · IaC · Container · Secrets · Business-Logic.
Vit à l’intérieur de chaque agent IA. Claude Code, Cursor, Copilot, une couche sémantique unique partout.
Tourne dans l’IDE. Validé avant que la PR ne soit ouverte.
Connaît votre codebase. Vos règles, vos tenants, votre métier, encodés dans le graphe.

Calculateur ROI

Votre équipe. Votre code. Votre ROI en 30 secondes.

Cinq questions. On vous remonte ensuite, sur chaque plan CybeDefend, les heures que votre équipe récupère, le budget que vous arrêtez de saigner sur le triage des vulnérabilités, et le gain net annuel.

Calculateur ROI

Témoignages

Voix d’équipes qui livrent déjà avec Cybe dans la boucle.

Deux clients early, deux stacks différentes, même résultat : plus de temps à livrer, moins d’alertes à trier.

Olivier, Tech Lead · Koddex — OL
Olivier
Tech Lead

Geoffrey, CTO · Diag n’Grow — GE
Geoffrey
CTO

Security Reviewis dead.Vibe-coding rewrote the rules.

Soutenu par

Le problème n’est pas que l’IA écrit du code.
Le problème, c’est que personne ne sait plus le lire .