Claude Code est-il conforme SOC 2 ? Ce que les développeurs doivent savoir

Résumer cet article avec :

Claude Code, l’agent de codage en CLI d’Anthropic, s’invite dans les terminaux des développeurs… et dans les réunions de conformité. Au 21 janvier 2026, la question “Claude Code est-il conforme SOC 2 Type II ?” appelle une réponse nuancée : l’infrastructure d’Anthropic a bien été auditée, mais votre usage local — et vos propres contrôles — restent décisifs. Autrement dit, la conformité n’est pas un tampon collé sur du code généré : c’est un système, des preuves, et une responsabilité partagée.

À retenir
SOC 2 Type II atteste des contrôles d’un fournisseur sur une période, pas “la conformité” d’un morceau de code généré.
Claude Code est une interface locale, mais s’appuie sur des services cloud (API) relevant de l’infrastructure security d’Anthropic.
Les échanges vers l’API sont protégés par TLS encryption en transit.
Côté poste de travail, attention à l’encryption at rest (chiffrement au repos) des fichiers, journaux, caches et transcriptions locales.
Le modèle de sécurité repose sur une architecture de permissions stricte : lecture seule par défaut, actions sensibles soumises à validation (exécution de commandes, écriture, tests via le Bash Tool).
Le sandboxing (ex. commande /sandbox) réduit le risque d’exécution non souhaitée en isolant système de fichiers et réseau.
Le mode Zero Data Retention (ZDR) vise à ne pas conserver prompts/réponses côté fournisseur, surtout via clés API d’organisation : ce n’est pas automatique sur les plans grand public.
Risque majeur à documenter : la prompt injection (instructions malveillantes cachées dans un dépôt, un ticket, un fichier).
Pour l’audit : privilégier audit logs exportables (JSON/CSV), RBAC (contrôle d’accès par rôles) et politiques internes (revue, CI/CD, gestion des secrets).
Au-delà de SOC 2 : ISO 27001, ISO 42001, et, pour la santé US, HIPAA via Business Associate Agreement (BAA) selon les options contractuelles.

La question SOC 2 qui se cache derrière une question simple

Commençons par lever le malentendu le plus courant : on confond la conformité d’un fournisseur avec la conformité d’un usage. Et dans le cas d’un assistant de code “agentique”, cette nuance est centrale : c’est exactement là que se joue votre exposition au risque, entre ce que garantit le contrat et ce que vous faites réellement en production.

SOC 2 Type II : ce que cela couvre (et ce que cela ne couvre pas)

SOC 2 est un audit de contrôles (sécurité, disponibilité, confidentialité, etc.) appliqués à des systèmes et à des processus documentés. Le Type II est la version qui compte pour les entreprises : l’auditeur ne se contente pas de vérifier que des règles existent, il constate qu’elles ont fonctionné dans la durée, sur une période donnée et sur des échantillons de preuves.

Mais rappelons que SOC 2 ne “certifie” pas une sortie de modèle. Le code généré par un LLM n’est ni conforme ni non conforme “par nature”. C’est comparable à un permis de conduire : il prouve que le conducteur a été évalué, pas que chaque trajet sera sans incident, surtout si le véhicule est mal entretenu ou mal chargé.

Claude Code : un outil local adossé à une infrastructure auditée

Claude Code s’exécute dans votre terminal. Il lit votre base de code, propose des modifications, orchestre des actions. Et pour obtenir l’intelligence du modèle, il envoie des requêtes vers les API d’Anthropic — couvertes par l’audit SOC 2 Type II de l’infrastructure globale (API, applications web, cadre de journalisation d’audit et endpoints Zero Data Retention).

Conséquence pratique : sur la partie fournisseur, vous disposez d’un socle d’infrastructure security documentable. Sur la partie poste développeur, vous basculez dans votre périmètre de contrôle : politiques internes, configuration des machines, durcissement, supervision, gestion des accès et de la conformité locale.

Le piège du vocabulaire : “Claude Code compliant” vs “Claude Code utilisable en environnement compliant”

Côté entreprise, la bonne question ressemble plutôt à : “Peut-on utiliser Claude Code sans casser nos contrôles SOC 2 / ISO / exigences clients ?”. Là, la réponse devient actionnable : oui, si vous traitez Claude Code comme un outil de production intégré à votre chaîne de preuves (revue, tests, traçabilité, gestion des secrets, journalisation) et non comme un simple gadget individuel.

Lisez aussi « Code execution with MCP » allège le contexte et accélère les workflows

Dans le terminal, la sécurité se joue sur les détails

Un assistant agentique n’est pas un simple chat. C’est un acteur qui peut lire, proposer, et parfois exécuter. La sécurité tient donc à la façon dont les données circulent, à ce qui est consigné localement, et à la manière dont l’outil obtient (ou n’obtient pas) le droit d’agir sur votre code et votre infrastructure.

Poste de développeur en France avec terminal affichant un assistant de code CLI, journaux locaux et traces de télémétrie, à côté d’un disque chiffré, illustrant TLS en transit et chiffrement au repos. — Dans le terminal, la sécurité dépend autant du chiffrement en transit que de la gestion des journaux, caches et traces locales sur le poste développeur.

Flux de données : TLS en transit, mais quid du “au repos” sur votre machine ?

Les prompts et sorties transitent via l’API et bénéficient de TLS encryption, ce qui est devenu le minimum vital. En revanche, beaucoup d’équipes découvrent un angle mort : les traces locales. Télémétrie (telemetry), journaux, transcriptions de sessions, artefacts de debug… tout cela vit sur le poste, donc sous votre responsabilité, et doit être intégré à votre politique de chiffrement au repos.

Concrètement, si votre parc n’impose pas un chiffrement disque systématique, vous pouvez avoir une API “bien sécurisée” et une fuite par un laptop mal géré. Et si vous utilisez déjà des outils comme Sentry (erreurs) ou Statsig (feature flags / expérimentation) dans vos produits, posez la même question au poste développeur : qu’est-ce qui remonte, où, combien de temps, avec quel niveau de masquage et quel accès pour les opérateurs ?

Permission architecture : une boîte de vitesses, pas un pilotage automatique

Claude Code s’appuie sur un modèle de permissions strict : en lecture seule par défaut. Pour écrire dans le dépôt, lancer des tests ou exécuter une commande shell via le Bash Tool, l’utilisateur doit valider explicitement chaque action proposée, ce qui introduit un contrôle humain systématique.

En d’autres termes, c’est un peu comme un coffre-fort à double clé : l’outil peut proposer l’action, mais le dernier “clic” reste humain. Cette conception est précieuse contre les dérapages, mais elle ne remplace pas une politique interne : qui a le droit d’utiliser l’outil, sur quels dépôts, avec quels garde-fous ? Ici, le RBAC organisationnel (Role-Based Access Control) et la gestion des clés API deviennent des pièces maîtresses.

Sandboxing : limiter le blast radius quand l’agent se trompe

Le sandboxing (par exemple via /sandbox) vise à isoler l’exécution des commandes du système de fichiers et du réseau. C’est un pare-chocs, pas une armure : il réduit l’impact potentiel d’une action dangereuse mais ne dispense ni de vigilance, ni de bonnes pratiques de développement sécurisé.

Pourquoi c’est essentiel ? Parce que la menace ne se limite pas à “le modèle fait n’importe quoi”. La menace, c’est aussi l’interaction avec des contenus hostiles : un fichier dans un repo, un ticket, une documentation interne qui contient une instruction piégée. Et l’agent, parce qu’il lit et agit, peut être influencé, voire instrumentalisé, s’il n’est pas enfermé dans un environnement contrôlé.

ZDR, audit logs, certifications : ce que l’entreprise doit exiger noir sur blanc

La conformité est une discipline de preuves. Dans un audit, les intentions comptent peu : ce qui compte, ce sont les éléments que vous pouvez démontrer, exporter, archiver et expliquer. Si vous introduisez Claude Code, l’objectif est de le rendre traçable au même titre que vos autres outils de production.

Équipe sécurité en France examinant des tableaux d’audit logs et de paramètres Zero Data Retention sur écran, avec des documents de certifications SOC 2 et ISO sur la table. — ZDR, audit logs et certifications doivent être définis noir sur blanc pour transformer l’usage de Claude Code en preuves exploitables lors d’un audit SOC 2 ou ISO.

Zero Data Retention : un mode, pas une incantation

Anthropic propose des options Zero Data Retention (ZDR) pour les organisations : les requêtes sont analysées en temps réel (détection d’abus) puis supprimées, sans persistance des prompts ni des sorties côté fournisseur. C’est souvent le point décisif pour faire entrer un outil d’IA dans un système d’information “sensible”.

Mais point de vigilance : les garanties ZDR et leurs engagements contractuels s’appliquent surtout aux clés API d’organisation et aux offres entreprise. Les usages via comptes grand public (Free, Pro, Max) ne bénéficient pas mécaniquement du même niveau d’isolation. Pour une équipe française soumise au RGPD et à des clauses clients, cela implique une règle simple : pas de données sensibles sans cadre contractuel, et pas de confusion entre “compte perso” et “compte entreprise”.

Lisez aussi Anthropic intensifie ses initiatives pour intégrer l’intelligence artificielle dans le secteur éducatif

Audit logs : ce que l’auditeur voudra voir (et ce que vous devez préparer)

Dans une revue SOC 2, l’auditeur ne vous demandera pas si “Claude est sûr”. Il vous demandera : où sont vos audit logs centralisés ? Qui peut utiliser l’outil ? Comment prouvez-vous qu’un secret n’a pas été exposé ? Comment reliez-vous l’usage à un contrôle documenté ?

Les environnements Enterprise proposent des journaux exportables (JSON/CSV) sur les connexions et l’usage des jetons. Côté entreprise, à vous d’en faire un actif : centralisation, corrélation, rétention, et procédures d’investigation. C’est l’équivalent, pour l’IA, du badgeage et de la vidéosurveillance : personne n’aime en parler, mais tout le monde les réclame le jour où “il s’est passé quelque chose”.

ISO 27001, ISO 42001, HIPAA/BAA : la conformité étendue n’efface pas vos contrôles

Au-delà de SOC 2 Type II, l’infrastructure supportant Claude Code revendique aussi ISO 27001 (management de la sécurité de l’information) et ISO 42001 (systèmes de management de l’IA). Pour certains secteurs (notamment santé US), une couverture HIPAA est envisageable via Business Associate Agreement (BAA), généralement conditionnée par l’activation du ZDR.

Traduction terrain : ces certifications simplifient la due diligence fournisseur. Elles ne “valident” pas votre implémentation. Si vos développeurs copient-collent des secrets dans un prompt ou exposent des données de production hors périmètre, aucune norme ne viendra sauver votre audit ni votre obligation de notification en cas d’incident.

Mode d’emploi pour une équipe produit : sécuriser sans étouffer l’automatisation

La promesse de Claude Code, c’est l’efficacité. La réalité d’une DSI, c’est la maîtrise. L’objectif n’est pas de freiner l’outil, mais de le rendre auditable et prévisible — donc acceptable par les équipes sécurité, juridique et achats, sans casser la dynamique côté produit.

Managed settings : configurer une “ligne blanche”

Le fichier managed-settings.json permet de verrouiller des comportements (désactiver des hooks non vérifiés, restreindre des capacités réseau). C’est votre politique “as code” pour Claude Code, au même titre qu’un fichier de configuration pour un proxy ou un outil de CI.

Ajoutez une règle simple sur la rétention locale : limiter les transcriptions de chat (souvent 7 à 14 jours recommandés) et documenter qui peut y accéder. En résumé : moins vous stockez, moins vous avez à protéger, et moins vous aurez à expliquer en cas de revue ou d’incident.

MCP et prompt injection : la productivité a un prix, l’attaque aussi

Le Model Context Protocol (MCP) ouvre la porte à des serveurs et connecteurs qui enrichissent le contexte (tickets, docs, données internes). C’est puissant, notamment pour éviter les copier-coller de données sensibles, mais c’est aussi une surface d’attaque supplémentaire si elle est mal maîtrisée.

La prompt injection devient alors un risque “supply chain” : une instruction malveillante peut se cacher dans un fichier lu par l’agent et le pousser à exfiltrer un secret, ou à exécuter une commande destructrice. La parade n’est pas magique : sandboxing, permissions strictes, revue humaine et isolation des environnements (dépôts, réseaux, identités) doivent être décrits noir sur blanc dans vos procédures internes.

Vulnerability disclosure : exiger un programme, pas une promesse

Dernier point, souvent oublié : comment le fournisseur gère les vulnérabilités. Demandez un processus de vulnerability disclosure formalisé, des éléments de tests de pénétration récents et une posture claire sur la divulgation responsable (par exemple via des plateformes type HackerOne, quand elles sont utilisées par les éditeurs).

Et côté équipe, appliquez la même exigence à votre propre chaîne : scans SAST/DAST réguliers, revue de dépendances, politiques de secrets, et traçabilité des versions de modèles utilisées. Selon les contextes, cela peut inclure la documentation des versions actives (par exemple Haiku 4.5 pour la vitesse, Sonnet 3.7 ou Sonnet 4.5 pour des tâches plus lourdes), ainsi que l’arbitrage coût/latence. À titre d’ordre de grandeur, Haiku 4.5 est annoncé autour de 0,86 € / 4,30 € par million de tokens (entrée/sortie), contre environ 2,58 € / 12,90 € pour Sonnet 4.5 : l’automatisation a un prix, et la capacité à l’auditer aussi.