Vous avez installé Claude Code et vous n’avez jamais regardé les paramètres de sécurité ?
Vous n’êtes pas seul. Mais les chiffres devraient vous inquiéter :
- 55% des développeurs travaillant sur des projets IA fuient accidentellement des données utilisateurs sensibles
- 3,2% des commits générés par Claude Code contiennent des secrets exposés, soit le double du taux de base des projets traditionnels (1,5%)
- 28,6 millions de secrets ont été exposés sur GitHub en 2025, une hausse de 34% par rapport à 2024
- Les credentials AWS exposés coûtent en moyenne 8 000 à 50 000 $ en une seule nuit
- Le délai moyen de détection d’une fuite de credentials : 197 jours
Pendant près de 6 mois, quelqu’un utilise déjà vos accès, vend vos données, et vous n’en savez rien.
Ce guide vous montre comment sécuriser Claude Code en 15 minutes à 1 heure, selon votre niveau de risque. Trois niveaux de protection. Une démarche progressive. Zéro excuse.
Pourquoi Claude Code est un risque majeur ?
Par défaut, Claude Code a un accès quasi-total à votre machine. Cela fait pas mal débat ces derniers temps. On passe notre temps à sensibiliser pour que d’un revers de main, tout le monde envoie ses données à n’importe qui, sans aucun contrôle.
Voici ce dont Claude à accès par défaut :
~/.ssh/ → vos clés SSH vers tous vos serveurs
~/.aws/ → vos credentials cloud (AWS, Azure, GCP)
~/.npmrc → votre token npm
.env → toutes les clés API de tous vos projets
~/.bashrc / .zshrc → s'exécute à chaque ouverture de terminal
curl, wget, nc → peuvent envoyer des données n'importe oùL’attaque ne nécessite aucune sophistication.
Un fichier CLAUDE.md malveillant dans un repo que vous avez cloné. Un commentaire dans une dépendance. Une injection de prompt dans un script de build. Claude lit l’instruction, l’exécute, et vos credentials sont déjà en route vers un serveur distant.
Les vecteurs d’attaque documentés en 2026
- Prompt injection via CLAUDE.md : Un fichier de configuration dans un repo public peut rediriger Claude pour exfiltrer des données sans que vous ne voyiez rien
- ShadowPrompt : Une vulnérabilité zero-click dans les extensions agent permet une exécution de code à distance
- MCP (Model Context Protocol) hijacking : Une configuration MCP malveillante peut prendre le contrôle d’une session Claude en cours d’exécution
- Deux vulnérabilités critiques sont restées non corrigées jusqu’à la version 2.0.65 de Claude Code
La réalité : sans sandbox, les règles deny que vous configurez ne bloquent que les outils intégrés de Claude. Les commandes Bash les contournent complètement.
Alors comment faire ?
Niveau 1 : settings.json
(15 minutes – couvre 90% des risques)
Objectif : Configurer le sandbox OS et les permissions de base. C’est le minimum vital.
Étape 1 : Activer le sandbox
Ouvrez une session Claude Code et exécutez :
/sandboxChoisissez « Auto-allow mode ». Et voilà. Simple.
Pour Linux : installez d’abord bubblewrap :
sudo apt-get install bubblewrap socatExplications :
- Sans sandbox : les règles deny ne s’appliquent qu’aux outils natifs de Claude. Bash les contourne
- Avec sandbox : les règles s’appliquent au niveau du système d’exploitation (Seatbelt sur macOS, bubblewrap sur Linux)
- Résultat : 84% de pop-ups de confirmation en moins, tout en étant plus sûr
Étape 2 : Créez ou éditez le fichier ~/.claude/settings.json :
{
"permissions": {
"allow": [
"Bash(npm run *)",
"Bash(npm test *)",
"Bash(npx prettier *)",
"Bash(npx eslint *)",
"Bash(git status)",
"Bash(git diff *)",
"Bash(git log *)",
"Bash(git commit *)",
"Bash(ls *)",
"Bash(cat *)",
"Bash(grep *)"
],
"deny": [
"Read(~/.ssh/**)",
"Read(~/.gnupg/**)",
"Read(~/.aws/**)",
"Read(~/.azure/**)",
"Read(~/.kube/**)",
"Read(~/.npmrc)",
"Read(~/.git-credentials)",
"Read(~/.config/gh/**)",
"Edit(~/.bashrc)",
"Edit(~/.zshrc)",
"Bash(curl *)",
"Bash(wget *)",
"Bash(nc *)",
"Bash(ssh *)",
"Bash(git push *)",
"Read(*.env)",
"Read(.env.*)"
]
},
"enableAllProjectMcpServers": false,
"sandbox": {
"filesystem": {
"denyRead": ["./.env", "./.env.*"]
}
}
}Ce que fait chaque bloc :
| Bloc | Fonction | Impact sécurité |
|---|---|---|
allow | Opérations read-only sûres (git status, npm test, lint) | Plus de pop-up à chaque commande courante |
deny Read(~/.ssh, ~/.aws…) | Bloque l’accès aux credentials | Claude ne peut pas lire vos clés, même compromis |
deny Bash(curl, wget, nc, ssh) | Bloque les connexions sortantes | Impossible d’exfiltrer des données vers l’extérieur |
deny Read(.env) | Bloque les fichiers .env | Le vecteur de fuite le plus courant est neutralisé |
enableAllProjectMcpServers: false | Désactive le chargement automatique des configs MCP | Empêche les repos malveillants de charger des serveurs compromis claudefa |
sandbox.denyRead | Double couche sur .env | Bloque même les programmes lancés par Claude code.claude |
Étape 3 : Mettre à jour
claude updatePourquoi : Les versions antérieures à 2.0.65 contiennent deux vulnérabilités critiques non corrigées. Exécutez cette commande mensuellement.
Temps total : 15 minutes
Couverture : 90% des vecteurs d’attaque courants
Remplace : Le faux sentiment de sécurité que vous aviez il y a 15 minutes
Niveau 2 : Configuration Trail of Bits (30 minutes – workflow sécurité complet)
Objectif : Adopter la configuration exacte utilisée par Trail of Bits, un cabinet d’audit qui travaille sur des contrats intelligents, des systèmes gouvernementaux et des protocoles crypto.
Trail of Bits a open-sourcé sa configuration complète Claude Code : sandbox, permissions, hooks, skills, serveurs MCP, tout ce qu’ils utilisent en production sur des audits réels.
Installation :
# Installez le marketplace de skills
claude plugin marketplace add trailofbits/skills
# Puis dans une session Claude Code :
/trailofbits:configLa commande /trailofbits:config analyse votre configuration existante, identifie ce qui manque, et installe automatiquement chaque composant. Réexécutez-la après chaque mise à jour.
Ce qui s’ajoute par rapport au Niveau 1
Workflow hooks
Des hooks automatisés qui imposent :
- Planification avant codage : Claude doit structurer sa pensée avant d’écrire
- Debug structuré : Méthodologie de résolution de bugs reproductible
- Vérification avant livraison : Checklists de validation exécutées automatiquement
Security skills
Des compétences activées automatiquement selon le contexte :
- Checklists d’analyse de sécurité
- Patterns de vulnérabilités connues (OWASP Top 10, CWE)
- Logique de décision d’auditeur senior
- Activation automatique sur les fichiers sensibles (auth, crypto, payments)
Template CLAUDE.md
Un fichier projet qui impose :
- Pas de fonctionnalités spéculatives
- Pas d’abstraction prématurée
- Justification de chaque dépendance (chaque dépendance = surface d’attaque supplémentaire)
La chaîne de compétence
brainstorm → plan → execute → verifyClaude n’écrit plus seulement du code. Il prouve que le code est sûr avant de le proposer.
Temps total : 30 minutes
Couverture : Workflow sécurité complet, inspiré des audits de sécurité réels
Remplace : Des heures de lecture de documentation et de construction manuelle d’un système de permissions
Niveau 3 : Devcontainer (1 heure – isolation totale)
Objectif : Exécuter Claude Code dans un conteneur Docker. Zéro accès à votre machine hôte, pas de SSH, pas de credentials cloud, pas de filesystem en dehors du projet.
C’est la configuration à utiliser pour :
- Les repos clients sensibles
- Les projets open source non audités
- Tout code que vous ne contrôlez pas entièrement
Installation :
# Installez l'CLI Devcontainer
npm install -g @devcontainers/cli
# Clonez la configuration Trail of Bits
git clone https://github.com/trailofbits/claude-code-devcontainer \
~/.claude-devcontainer
# Auto-installation
~/.claude-devcontainer/install.sh self-installUtilisation sur un repo non fiable :
# Clonez le repo suspect
git clone <repo-suspect>
cd <repo-suspect>
# Installe le template et démarre le conteneur
devc .
# Ouvre un shell dans le conteneur
devc shell
# Lancez Claude — zéro accès à l'hôte
claudeAlors qu’est ce que ca change concrètement ?
| Sans conteneur | Avec conteneur |
|---|---|
Accès à ~/.ssh, ~/.aws, ~/.npmrc | Aucun accès en dehors du projet |
Peut modifier ~/.bashrc | filesystem en lecture seule hors projet |
Peut lancer curl vers n’importe où | réseau isolé, hôtes approuvés uniquement |
| Historique mélangé | historique, settings et identité git persistants entre rebuilds |
Fonctionnalité clé : bypassPermissions est activé dans le conteneur. Claude travaille vite car le conteneur est le sandbox. Vos sessions se synchronisent via devc sync.
Temps total : 1 heure
Couverture : 100% – isolation totale de l’hôte
Remplace : L’angoisse de faire tourner Claude sur du code client depuis votre machine personnelle
Et voilà. Vous avez sécurisé vos usages ! Alors bien sûr, il est possible d’aller plus loin, mais vous avez désormais les bases principales.
Pourquoi cette démarche est critique pour votre conformité ?
En tant que DPO, RSSI ou responsable conformité, vous ne pouvez pas ignorer ce risque :
RGPD (Articles 25, 32, 33)
Privacy by Design : Configurer Claude Code avec un sandbox et des permissions restrictives est une mesure technique appropriée
Notification de violation : Une fuite de credentials via Claude Code non configuré déclenche une obligation de notification à la CNIL sous 72h si des données personnelles sont exposées
Responsabilité : En cas d’incident, la CNIL demandera la preuve que vous avez configuré les outils IA selon les meilleures pratiques
DORA Pour les entités financières :
Gestion des risques ICT : Claude Code est un outil ICT tiers. Son mauvais configuration est un risque opérationnel documentable
Tests de résilience : Vos scénarios de test doivent inclure les compromissions via IA
Reporting d’incident : Une exfiltration via Claude Code est un incident majeur reportable
Dans le cadre de NIS2 :
Pour les OSE et entités importantes :
Mesures de sécurité techniques : Le sandbox et les permissions restrictives sont des mesures de sécurisation des accès
Gestion des incidents : Une fuite via IA doit être traitée comme un incident de sécurité
Due diligence fournisseurs : Si vous utilisez Claude Code pour du code client, la configuration est une exigence de diligence raisonnable. Et encore. Il est nécessaire d’aller encore plus loin.
Claude Code est puissant parce qu’il peut tout faire. C’est exactement pour ça que vous ne voulez pas qu’il le puisse.
Vous ne laissez pas un stagiaire accéder à vos clés SSH, vos credentials AWS et vos fichiers .env sans supervision. Ne le faites pas avec une IA.
La bonne nouvelle : en 15 minutes, vous bloquez 90% des risques. En 1 heure, vous êtes en isolation totale.
La mauvaise nouvelle : chaque jour sans configuration est un jour où vos credentials peuvent être exfiltrés, vendus et exploités, et vous ne le saurez pas avant 197 jours.
Choisissez votre niveau. Configurez aujourd’hui. Dormez tranquille ce soir.
Ressources :
- Documentation officielle Sandbox Claude Code
- Configuration Trail of Bits (GitHub)
- Devcontainer Trail of Bits (GitHub)
- Rapport Secret Sprawl 2026 — GitGuardian
- Article Anthropic sur le sandboxing
Besoin d’accompagnement pour intégrer ces mesures dans votre politique de sécurité, votre DPIA ou votre conformité DORA/NIS2 ?
👉 Contactez Cyberstrat. Nous accompagnons les organisations dans la sécurisation de leurs flux de développement IA, la cartographie des risques et la mise en conformité RGPD, DORA et NIS2.
