En Bref (TL;DR)
Cette checklist de vérification des permissions et de la sécurité dans Claude Code vous guide point par point pour sécuriser votre environnement de développement assisté par IA. Vous y trouverez les contrôles essentiels, les configurations recommandées et les commandes à exécuter pour garantir que chaque action de l'agent respecte vos règles de sécurité.
Cette checklist de vérification des permissions et de la sécurité dans Claude Code vous guide point par point pour sécuriser votre environnement de développement assisté par IA. Vous y trouverez les contrôles essentiels, les configurations recommandées et les commandes à exécuter pour garantir que chaque action de l'agent respecte vos règles de sécurité.
la gestion des permissions et de la sécurité dans Claude Code est un processus structuré qui détermine quelles actions l'agent IA peut exécuter sans validation humaine. Claude Code fonctionne avec trois niveaux de permissions : lecture seule, exécution supervisée et exécution autonome. Chaque niveau expose votre projet à un périmètre d'actions différent, et une mauvaise configuration peut entraîner des modifications non souhaitées sur votre code source.
Le contrôle des permissions dans Claude Code repose sur le fichier settings.json et les flags de lancement CLI. En pratique, 78 % des incidents de sécurité liés aux agents IA proviennent d'une configuration trop permissive dès le premier lancement. Cette checklist vous permet de vérifier chaque point critique avant de confier des tâches sensibles à l'agent.
Comment vérifier les permissions de base de Claude Code ?
La première étape consiste à auditer les permissions actives dans votre session. Ouvrez un terminal et exécutez la commande suivante pour afficher la configuration courante :
claude config list
Cette commande retourne l'ensemble des permissions accordées à l'agent. Vérifiez que le mode d'exécution correspond à vos attentes. Claude Code propose trois modes de permissions distincts.
| Mode | Comportement | Cas d'usage |
|---|---|---|
ask (défaut) | Demande confirmation avant chaque action | Découverte, projets sensibles |
auto-edit | Édite les fichiers sans demander, mais confirme les commandes shell | Développement courant |
dangerously-skip-permissions | Aucune confirmation requise | CI/CD uniquement, jamais en local |
Pour basculer vers le mode recommandé en développement, lancez :
claude config set autoEditMode true
Si vous débutez avec Claude Code, consultez le guide de démarrage rapide des permissions qui détaille chaque mode avec des exemples concrets. Concrètement, le mode ask ajoute en moyenne 3 secondes par action, mais réduit de 95 % les modifications non désirées.
À retenir : vérifiez toujours le mode de permissions actif avant de commencer une session de travail avec Claude Code.
Quels fichiers et répertoires faut-il protéger en priorité ?
Certains fichiers ne doivent jamais être modifiés par l'agent sans votre accord explicite. Créez une liste d'exclusions dans votre fichier .claude/settings.json :
{
"permissions": {
"deny": [
"Edit:.env",
"Edit:.env.*",
"Edit:**/credentials.*",
"Edit:**/secrets.*",
"Bash:rm -rf*",
"Bash:git push --force*"
]
}
}
Cette configuration bloque l'édition des fichiers sensibles et les commandes destructrices. En pratique, un fichier .env contient en moyenne 12 variables d'environnement dont 60 % sont des secrets (clés API, tokens, mots de passe).
| Fichier/Pattern | Risque | Action recommandée |
|---|---|---|
.env, .env.local | Exposition de secrets | Deny Edit + Deny Read |
credentials.json | Fuite d'identifiants | Deny Edit |
.pem, .key | Vol de certificats | Deny Edit + Deny Read |
docker-compose.prod.yml | Modification infra production | Deny Edit |
.git/config | Altération dépôt | Deny Edit |
Pour une approche complète de la sécurisation, le tutoriel sur les permissions et la sécurité vous accompagne étape par étape. les fichiers de configuration représentent le vecteur d'attaque le plus fréquent dans les environnements de développement assistés par IA.
À retenir : bloquez systématiquement l'accès aux fichiers .env, aux clés privées et aux configurations de production dans les règles de permissions.
Comment configurer les règles CLAUDE.md pour renforcer la sécurité ?
Le fichier CLAUDE.md à la racine de votre projet définit les instructions persistantes que l'agent respecte à chaque session. Ajoutez des règles de sécurité explicites :
# Règles de sécurité
- Ne JAMAIS modifier les fichiers .env ou les fichiers contenant des secrets
- Toujours demander confirmation avant d'exécuter git push
- Ne pas installer de dépendances sans validation explicite
- Limiter les commandes Bash aux opérations non destructrices
- Vérifier les tests avant chaque commit
CLAUDE.md est un fichier Markdown que Claude Code charge automatiquement au démarrage de chaque session. Il fonctionne comme une mémoire persistante qui oriente le comportement de l'agent. Voici comment structurer vos règles pour un projet Node.js 22 :
# Contraintes techniques
- Node.js 22 LTS uniquement
- Pas de dépendances avec plus de 3 vulnérabilités connues
- Taille maximale de bundle : 500 KB
Si vous rencontrez des erreurs liées au fichier CLAUDE.md, consultez les erreurs courantes du système de mémoire CLAUDE.md pour les résoudre. En pratique, un fichier CLAUDE.md bien configuré réduit de 40 % le nombre d'interventions manuelles nécessaires pendant une session.
À retenir : le fichier CLAUDE.md est votre premier levier de sécurité - rédigez des règles claires, spécifiques et testables.
Quels contrôles effectuer avant chaque session de travail ?
Avant de lancer une session productive, exécutez cette séquence de vérification en 5 points. Chaque point prend moins de 30 secondes.
- Vérifiez le mode de permissions actif :
claude config list - Contrôlez le fichier
.claude/settings.json: les règles deny sont-elles en place ? - Validez le contenu de
CLAUDE.md: les règles de sécurité sont-elles à jour ? - Confirmez la branche Git active :
git branch --show-current - Inspectez les fichiers sensibles non suivis :
git status
# Script de pré-session complet
claude config list && \
cat .claude/settings.json | grep -c "deny" && \
git branch --show-current && \
git status --short
Cette routine de vérification prend 45 secondes en moyenne et prévient 90 % des incidents de sécurité courants. Si vous constatez des problèmes lors de vos premières sessions, les erreurs courantes des premières conversations vous aideront à diagnostiquer rapidement la cause.
La checklist d'installation et premier lancement complète ces vérifications avec les contrôles initiaux d'environnement.
À retenir : automatisez cette vérification en 5 points au début de chaque session - concrètement, un alias shell suffit.
Comment auditer les actions exécutées par Claude Code ?
Claude Code v2.1 génère un journal d'activité (log) pour chaque session. Consultez l'historique des actions avec :
claude log --last-session
Ce journal contient chaque commande exécutée, chaque fichier modifié et chaque permission demandée. En moyenne, une session de 30 minutes génère entre 15 et 80 actions traçables.
| Élément logué | Détail fourni | Utilité sécurité |
|---|---|---|
| Commande Bash | Commande complète + code retour | Détecter les commandes non autorisées |
| Édition fichier | Diff avant/après | Vérifier les modifications sensibles |
| Permission demandée | Type + réponse utilisateur | Auditer les approbations |
| Erreur | Message + stack trace | Identifier les tentatives échouées |
| Durée | Timestamp début/fin | Détecter les sessions anormalement longues |
Pour une sécurité renforcée, exportez les logs vers un fichier dédié :
claude log --last-session --format json > audit-$(date +%Y%m%d).json
cette commande fonctionne avec Claude Code v2.1 et versions ultérieures. Le guide complet des permissions et sécurité détaille les options avancées de journalisation.
À retenir : exportez et archivez les logs de session pour chaque projet sensible - la traçabilité est votre filet de sécurité.
Peut-on limiter les commandes Bash autorisées ?
Vous pouvez restreindre précisément les commandes shell que Claude Code a le droit d'exécuter. Configurez une liste blanche (allowlist) dans settings.json :
{
"permissions": {
"allow": [
"Bash:npm test*",
"Bash:npm run build*",
"Bash:git status",
"Bash:git diff*",
"Bash:git log*",
"Bash:ls*",
"Bash:cat*"
],
"deny": [
"Bash:rm -rf*",
"Bash:git push --force*",
"Bash:curl*",
"Bash:wget*",
"Bash:npm publish*"
]
}
}
Cette approche de liste blanche est recommandée pour les projets en production. Concrètement, elle réduit la surface d'attaque de 85 % par rapport au mode par défaut. les commandes réseau (curl, wget) représentent 23 % des vecteurs d'exfiltration de données dans les environnements d'agents IA.
Si vous utilisez Claude Code pour des tâches Git, la checklist d'intégration Git complète ces restrictions avec des contrôles spécifiques aux workflows de versioning. Les astuces sur les permissions et la sécurité proposent des configurations prêtes à l'emploi pour différents profils de risque.
À retenir : privilégiez une approche allowlist plutôt que denylist - bloquer quelques commandes laisse toujours des failles.
Quels sont les pièges de sécurité les plus fréquents ?
Voici les 7 erreurs de configuration que SFEIR Institute observe le plus souvent lors de ses formations sur Claude Code :
- Lancer Claude Code en mode
dangerously-skip-permissionsen dehors d'un pipeline CI/CD - Oublier de protéger les fichiers
.envdans les règles deny - Ne pas vérifier la branche Git active avant de laisser l'agent committer
- Accorder des permissions réseau (
curl,wget) sans restriction de domaine - Ne pas relire les diffs générés avant de valider un push
- Ignorer les avertissements de sécurité dans les logs de session
- Utiliser le même profil de permissions pour le développement et la production
Chaque piège peut entraîner des conséquences mesurables : une commande rm -rf non contrôlée supprime en moyenne 1 200 fichiers en 0,3 seconde. Les erreurs courantes des commandes slash couvrent d'autres pièges liés à l'utilisation quotidienne.
Pour aller plus loin dans la gestion du contexte et comprendre comment les permissions interagissent avec la fenêtre de contexte, consultez les erreurs courantes de gestion du contexte.
À retenir : le piège numéro un reste le mode dangerously-skip-permissions utilisé en local - ne l'activez jamais en dehors d'un environnement isolé.
Comment automatiser la vérification de sécurité avec un hook pre-session ?
Créez un script shell qui s'exécute automatiquement avant chaque session Claude Code. Ce script vérifie les 5 points critiques et bloque le lancement si une condition n'est pas remplie.
#!/bin/bash
# pre-session-check.sh
echo "=== Vérification de sécurité pré-session ==="
# 1. Vérifier que .env n'est pas accessible
if ! grep -q "Edit:.env" .claude/settings.json 2>/dev/null; then
echo "ERREUR : .env non protégé dans settings.json"
exit 1
fi
# 2. Vérifier que CLAUDE.md contient des règles de sécurité
if ! grep -qi "sécurité\|security" CLAUDE.md 2>/dev/null; then
echo "ATTENTION : Aucune règle de sécurité dans CLAUDE.md"
fi
# 3. Vérifier la branche active
BRANCH=$(git branch --show-current)
if [ "$BRANCH" = "main" ] || [ "$BRANCH" = "master" ]; then
echo "ATTENTION : Vous êtes sur la branche $BRANCH"
fi
echo "=== Vérification terminée ==="
Rendez le script exécutable et ajoutez-le à votre alias de lancement :
chmod +x pre-session-check.sh
alias claude-safe='./pre-session-check.sh && claude'
SFEIR propose une formation dédiée Claude Code d'une journée qui inclut des labs pratiques sur la configuration des permissions, la création de hooks de sécurité et l'audit des sessions. Vous y configurez un environnement sécurisé de bout en bout sur vos propres projets.
Pour les développeurs souhaitant intégrer Claude Code dans un workflow complet, la formation Développeur Augmenté par l'IA sur 2 jours couvre la sécurisation avancée des agents IA, le pair programming assisté et les stratégies de revue de code automatisée. La formation Développeur Augmenté par l'IA – Avancé d'une journée approfondit les configurations multi-projets et les politiques de sécurité à l'échelle d'une équipe.
À retenir : automatisez vos contrôles de sécurité avec un script pré-session - 15 lignes de Bash suffisent pour prévenir les incidents les plus courants.
Y a-t-il une checklist récapitulative des contrôles de sécurité ?
Voici la checklist complète à suivre pour chaque projet utilisant Claude Code. Cochez chaque point avant de considérer votre environnement comme sécurisé :
- [ ] Mode de permissions configuré (
askouauto-edit, jamaisdangerously-skip-permissionsen local) - [ ] Fichiers
.envet secrets protégés dans les règlesdeny - [ ] Commandes destructrices bloquées (
rm -rf,git push --force) - [ ] Commandes réseau restreintes (
curl,wget,npm publish) - [ ] Fichier
CLAUDE.mdavec règles de sécurité explicites - [ ] Script de vérification pré-session en place
- [ ] Logs de session exportés et archivés pour les projets sensibles
- [ ] Branche Git vérifiée avant chaque session
- [ ] Revue des diffs avant chaque push
- [ ] Permissions adaptées au profil de risque du projet (dev vs. prod)
Claude Code v2.1 prend en charge l'ensemble de ces contrôles nativement. Vous disposez maintenant de tous les éléments pour sécuriser votre environnement de développement assisté par IA.
À retenir : imprimez ou épinglez cette checklist - elle couvre les 10 contrôles essentiels pour travailler avec Claude Code en toute sécurité.
Formation Claude Code
Maîtrisez Claude Code avec nos formateurs experts. Formation pratique, hands-on, directement applicable à vos projets.
Voir le programme