Réglages, permissions et hooks

Un agent capable d'écrire des fichiers et de lancer des programmes a besoin de limites. Dans Claude Code, ces limites ne sont pas de vagues promesses : ce sont de la configuration, écrite dans un fichier ( .claude/settings.json ) que vous contrôlez. Deux mécanismes comptent : les permissions et les hooks.

Permissions : les trois zones

Chaque action que l'agent pourrait poser tombe dans l'une de trois zones, et c'est vous qui tracez les lignes :

Zone	Ce qui se passe	Exemples que vous pourriez choisir
Interdit ( deny )	L'action est refusée, point final	Lire des fichiers de mots de passe, supprimer des dossiers, opérations forcées
Demander d'abord	L'agent s'arrête et vous demande	Envoyer un e-mail, publier une page, payer quoi que ce soit
Autorisé	L'agent procède de lui-même	Lire les fichiers du projet, lancer les tests, sauvegarder son travail

C'est le sens pratique de « les humains fixent les règles, l'agent exécute ». L'autonomie n'est pas un tout-ou-rien : c'est un curseur par type d'action. Une nouvelle installation démarre prudente ( presque tout demande ) ; à mesure que la confiance s'installe, vous faites basculer les actions de routine vers « autorisé » tout en gardant les sensibles sous contrôle.

Un exemple réel tiré de notre propre configuration chez eaQbe : l'agent peut lire n'importe quel fichier du projet et lancer n'importe quel test seul ; il doit demander avant d'envoyer un e-mail ( et en montrer un aperçu ) ; il ne peut jamais lire des fichiers d'identifiants ni rien supprimer de force : ces actions sont refusées même si on les lui demande gentiment.

Hooks : des réflexes automatiques

Les permissions décident si une action s'exécute. Les hooks sont de petits contrôles automatiques qui s'exécutent autour des actions de l'agent : sans que l'agent ( ni vous ) n'ait à y penser.

Un hook est une règle de la forme : « quand X se produit, exécute Y ». Exemples concrets tirés de configurations en production :

Au démarrage de session : vérifier que les systèmes critiques tournent et indiquer leur état à l'agent : pour qu'il démarre informé.
Avant toute commande risquée : un garde inspecte ce qui est sur le point de s'exécuter et bloque les motifs dangereux : même si l'agent a été dupé pour les tenter.
Après chaque modification de fichier : un contrôle automatique valide le fichier ( est-il toujours analysable ? ) pour qu'une faute de frappe soit attrapée à l'instant où elle survient.
Avant de livrer une réponse sur des sujets sensibles : un rappel se déclenche : « vérifie ceci contre le système réel, pas de mémoire ».

L'analogie : les hooks sont les verrouillages de sécurité d'une machine. L'opérateur n'a pas à se souvenir de la procédure de sécurité : la machine l'impose physiquement. Les hooks transforment vos bonnes pratiques de « choses qu'on espère que l'agent retient » en « choses qui se produisent chaque fois, mécaniquement ».

Pourquoi cela compte au-delà de la sécurité

Permissions et hooks sont généralement présentés comme des fonctions de sécurité : et ils le sont. Mais leur valeur plus profonde est le calibrage de la confiance. Parce que les limites sont explicites et mécaniques, vous pouvez déléguer plus agressivement à l'intérieur de celles-ci. Les équipes sans garde-fous, soit sur-supervisent ( et ne gagnent rien ), soit sous-supervisent ( et se brûlent ). Le fichier de configuration est ce qui vous permet de ne faire ni l'un ni l'autre.

Questions fréquentes

Claude Code peut-il faire des choses sans ma permission ?

Uniquement ce que vous avez placé dans la zone « autorisé ». Tout le reste, soit vous est demandé d'abord, soit est refusé. Les zones vivent dans un fichier de réglages que vous pouvez lire et modifier à tout moment.

Qu'est-ce qu'un hook dans Claude Code, en termes simples ?

Une règle automatique « quand X, fais Y » qui s'exécute autour des actions de l'agent : un contrôle au démarrage de session, un garde avant les commandes risquées, une validation après chaque modification. Des réflexes, pas des conseils.

Que faut-il mettre dans la zone « demander d'abord » ?

Tout ce qui est irréversible ou tourné vers l'extérieur : envoyer des messages, publier du contenu, dépenser de l'argent, supprimer des données. La règle de bon sens : si vous voudriez qu'un employé junior vérifie avec vous d'abord, mettez-le dans « demander ».

Pour aller plus loin

Ensuite : Skills & sous-agents : donner à l'agent un savoir-faire spécialisé.
Nous configurons ces garde-fous en direct, sur votre cas d'usage, dans la formation Claude Code.

Passez à la pratiqueeaQbe, l'équipe derrière ces tutoriels, délivre des formations pratiques et du conseil à Bruxelles et à distance.

Formation Claude Code & IA Agentique →Formation AI Literacy →

Permissions : les trois zones​

Hooks : des réflexes automatiques​

Pourquoi cela compte au-delà de la sécurité​

Questions fréquentes​

Claude Code peut-il faire des choses sans ma permission ?​

Qu'est-ce qu'un hook dans Claude Code, en termes simples ?​

Que faut-il mettre dans la zone « demander d'abord » ?​

Pour aller plus loin​