Rotation du token MCP Procédure sécurisée avec chevauchement 24h
Faire tourner le token bearer MCP sans rompre les connexions client actives. La procédure offre une fenêtre de chevauchement de 24h pendant laquelle l'ancien et le nouveau token sont acceptés.
Quand faire la rotation
- Départ d'un admin ayant eu accès au token (impératif sous 24h).
- Token suspecté fuité (perte d'un laptop, screenshot partagé, etc.) — rotation d'urgence, pas de chevauchement.
- Hygiène périodique : rotation tous les 90 jours par défaut.
- Audit conformité (SOC 2, ISO 27001) demandant la preuve d'une rotation des credentials.
Procédure standard avec chevauchement 24h
-
1
Ouvrir l'UI admin
Aller sur Settings → Security → MCP tokens.
-
2
Générer un nouveau token
Cliquer sur Generate new token. Le nouveau token est affiché une fois. Le copier immédiatement dans votre gestionnaire de mots de passe.
-
3
Activer le chevauchement 24h
Cocher Keep previous token valid for 24h. Les deux tokens sont acceptés pendant cette fenêtre.
-
4
Mettre à jour vos clients
Mettre à jour
claude_desktop_config.json, Cursor MCP settings, Claude Code MCP server entry. Redémarrer chaque client. -
5
Surveiller les connexions
Dans Settings → Security → MCP tokens → Activity, vérifier que tous les IPs client ont authentifié avec le nouveau token. Investiguer toute IP encore sur l'ancien token au bout de 12h.
-
6
Révoquer l'ancien token
Au-delà de la fenêtre de 24h, l'ancien token est auto-révoqué. Vous pouvez forcer la révocation plus tôt depuis l'UI si tous les clients sont migrés.
Rotation d'urgence (sans chevauchement)
En cas de suspicion de fuite de token, accepter la rupture des sessions client actives et révoquer immédiatement :
- Générer un nouveau token (étape 2 ci-dessus).
- Décocher Keep previous token valid for 24h.
- Cliquer sur Revoke previous token immediately.
- Propager le nouveau token à vos clients (Claude Desktop, Cursor, Claude Code).
- Auditer le log d'accès MCP des 30 derniers jours pour identifier tout usage suspect.