Aller au contenu principal
Retour à Securite
Agents I.A.

Claude self-hosted : sandbox et MCP tunnels, demi-pas DSI

Anthropic ouvre Claude Managed Agents au self-hosting et aux MCP tunnels. Ce qui change vraiment pour un DSI ou un RSSI français en 2026.

Louis-Clément Schiltz
CEO & Founder, Webotit.ai
9 min de lecture

Parler de ce sujet avec Webotit

En bref

Le 19 mai 2026, Anthropic a annoncé la sandbox self-hostée (beta publique via Cloudflare, Daytona, Modal, Vercel) et les MCP tunnels (research preview) pour Claude Managed Agents. Pour une DSI française, l'exécution des outils sort de l'infrastructure Anthropic. Mais l'agent loop reste aux États-Unis : c'est un demi-pas, pas une souveraineté complète.

Ce qu'Anthropic a annoncé à Londres le 19 mai 2026

À l'événement Code with Claude London des 19 et 20 mai 2026, Anthropic a poussé deux nouveautés dans Claude Managed Agents, la plateforme lancée en bêta publique le 8 avril.12

La première s'appelle sandbox self-hostée. Elle est en bêta publique. L'idée est simple : jusqu'ici, quand un agent Claude exécutait un outil — lancer un script, accéder à un fichier, requêter une API interne — cette exécution se passait sur l'infrastructure d'Anthropic. Désormais, l'exécution peut tourner dans une sandbox que vous configurez vous-même, sur votre cloud ou sur un fournisseur géré.3 Quatre opérateurs sont guidés dans la documentation : Cloudflare, Daytona, Modal et Vercel.4

La seconde s'appelle MCP tunnels. Elle est en research preview. C'est un tunnel chiffré sortant qui relie un agent Claude à un serveur MCP privé hébergé dans votre réseau, sans ouvrir d'entrée firewall.5 Vos serveurs MCP — qui exposent vos outils internes à l'agent — restent à l'intérieur de votre périmètre, comme n'importe quel service interne.

L'agent loop — orchestration, gestion du contexte, recovery — reste sur l'infrastructure d'Anthropic, donc aux États-Unis.6 Ce qui bouge, c'est l'exécution des outils et la connexion aux serveurs MCP. Pas la décision de l'agent. Pas son raisonnement. Pas ses logs d'orchestration.

C'est important parce que la promesse n'est pas la même selon le côté de la pile où vous regardez.

Pourquoi ce demi-pas change vraiment quelque chose pour une DSI française

Le sujet n'est pas la sandbox en soi. Le sujet est ce qu'elle débloque côté RSSI et conformité.

Avant cette annonce, un RSSI français qui voulait connecter un agent Claude à une base interne — CRM, ERP, GED, ticketing — devait choisir entre deux options inconfortables. Soit ouvrir un endpoint MCP public avec authentification et accepter le risque d'exposition. Soit interdire l'accès aux serveurs MCP internes, et donc priver l'agent d'une grande partie de son utilité.

Avec les MCP tunnels, l'agent atteint vos serveurs MCP via une connexion sortante, comme un agent SSH inversé. Aucune règle firewall entrante. Aucune adresse IP publique. C'est exactement la même mécanique qu'un Cloudflare Tunnel ou qu'un AWS Site-to-Site VPN bien configuré, mais appliquée à la communication agent–outils.

Pour une DSI qui cherche un protocole MCP IA exploitable en production, cette nuance est décisive. MCP n'est plus seulement une interface de développeur : c'est le contrat qui permet à un agent IA métier d'accéder au CRM, à l'ERP ou à la GED sans ouvrir tout le SI à Internet.

Pour la sandbox, le bénéfice est aussi opérationnel. Un agent Claude qui lit des fichiers métiers ou exécute du code dans la sandbox Anthropic, c'est une donnée qui sort de votre périmètre, transite par l'infrastructure d'Anthropic, et y est traitée. Sur AWS Bedrock, ce point est partiellement neutralisé par le DPA et l'absence de réutilisation pour l'entraînement.7 Mais sur le terrain juridique d'une compagnie d'assurance, d'une banque ou d'un opérateur d'importance vitale, le simple fait que la donnée transite par une infrastructure étrangère pose une question. La sandbox self-hostée la déplace.

C'est un déblocage commercial concret. Une DSI française que nous accompagnons aurait recalé un projet d'agent Claude branché à son CRM client en avril 2026, faute de pouvoir contenir l'exécution dans son propre VPC. Avec les MCP tunnels et une sandbox Cloudflare en région EU, ce même projet redevient discutable. La barrière de signature baisse.

Cloudflare, Vercel, Modal, Daytona — lequel choisir pour la France ?

Les quatre fournisseurs n'ont pas le même profil et n'adressent pas les mêmes cas.

Cloudflare propose deux formats : microVMs Linux pour les workloads complets, et V8 Isolates pour les tâches courtes et stateless avec un boot en millisecondes.8 Pour une DSI française, l'argument décisif n'est pas la performance, c'est la présence de datacenters Cloudflare à Paris, Marseille et autres villes européennes. Une donnée traitée dans une isolate Paris reste dans l'Union, ce qui simplifie une analyse d'impact RGPD.

Vercel offre une VM sandbox avec latence faible et injection réseau serrée. Pratique pour un agent IA qui pilote un workflow front-end ou orchestre des étapes intégrées à un site Next.js. Moins évident pour un cas back-office bancaire qui doit dialoguer avec un mainframe ou un ERP COBOL.

Modal cible les workloads GPU et compute-lourd. Si votre agent Claude doit lancer un modèle d'inférence sur des documents PDF (OCR, extraction comptable, vision artificielle), Modal a le bon profil. Le hic : la majorité des régions Modal sont US-East. Pour un projet agent IA en banque française sous DORA, c'est un blocage.

Daytona offre des VM longue durée, plus adaptées aux sessions agent qui durent. Le projet est plus jeune et son footprint européen moins documenté que celui de Cloudflare.

La conclusion pratique : pour la majorité des projets agents Claude que nous voyons passer côté Webotit, le couple Cloudflare EU + MCP tunnels est la combinaison la plus défendable devant un comité de risque français. C'est aussi la plus testée — Cloudflare a publié un guide officiel et un repo GitHub dédié.9

Ce que ça change pour une entreprise française

Trois scènes concrètes, vues côté COMEX et côté RSSI.

Cas 1 — Assureur français du top 10, 12 000 collaborateurs. L'agent Claude doit accéder à la base sinistres, au CRM client et à la GED contrat pour répondre à des relances complexes en back-office. Avant le 19 mai, le projet butait sur l'exposition firewall : ouvrir un MCP server vers Anthropic était bloqué par la directive de sécurité interne. Avec un MCP tunnel sortant et une sandbox Cloudflare EU, le projet peut redémarrer. Le gain n'est pas la productivité brute, c'est la levée d'un blocage RSSI. Le ROI se mesure au délai de mise en production : de 18 mois à 6 mois. C'est exactement le profil de chantier que nous voyons passer côté agents IA pour le secteur assurance, où l'accès aux données sinistres reste le point de friction n°1 avec la conformité ACPR.

Cas 2 — Banque mutualiste française, 2 500 conseillers. Le sujet 2026 est la qualification automatique d'emails entrants vers les chargés de clientèle (12 000 emails par jour, 6 typologies). Un agent IA branché à l'outil de gestion électronique de documents et au CRM. Avec les nouveautés Anthropic, l'exécution des outils peut tourner dans un VPC AWS de la banque, et l'accès à la GED se fait via un MCP tunnel. La conformité DORA et ANSSI redevient un sujet de DPA et de cadrage contractuel, pas un blocage architectural. La banque peut envisager un déploiement Claude là où il fallait auparavant arbitrer vers une pile 100 % européenne. Pour un mailbot bancaire qui qualifie les emails entrants, c'est la différence entre un POC qui dort et un projet qui passe en production.

Cas 3 — E-commerçant français pure player, 400 collaborateurs. Un agent IA Claude doit lire les commandes Shopify, interroger l'outil de transport et générer des réponses au support client en moins de 90 secondes. Ici, l'enjeu n'est pas la conformité bancaire. C'est la latence et le coût. Une sandbox Vercel sur la même région que le site marchand est plus pertinente qu'un MCP tunnel vers un serveur on-prem. Le gain réel : ne pas dupliquer la stack agent IA juste pour la conformité, et garder la même plateforme du POC à la production.

Pour orchestrer des agents IA métier branchés au SI, ces trois cas illustrent un point qu'on défend depuis huit ans chez Webotit. La sécurité agent ne se joue pas dans le choix du LLM seul. Elle se joue dans l'architecture d'exécution, le contrôle réseau et la traçabilité des appels d'outils. L'annonce du 19 mai rend cet arbitrage plus facile pour Claude, mais elle ne le remplace pas.

Pour chiffrer le retour sur investissement d'un agent IA dans un contexte conformité française, le bon modèle n'est pas la productivité brute. C'est le coût évité d'un projet qui ne sortirait pas du comité de risque sans ces garanties. Ce coût-là est souvent à six chiffres par projet abandonné.

Trois points de vigilance avant de signer

D'abord, l'agent loop reste américain. La sandbox self-hostée et les MCP tunnels couvrent l'exécution et l'accès aux outils. Le raisonnement de l'agent, ses logs internes et la gestion du contexte continuent de tourner sur l'infrastructure d'Anthropic. Si votre direction juridique demande la souveraineté complète sur l'ensemble du flux, Claude Managed Agents n'y répond pas — et il faut regarder côté Mistral AI Studio, Le Chat Enterprise ou une pile self-hostée open-weight.10

Ensuite, la disponibilité Bedrock EU compte autant que la sandbox. Anthropic Claude est disponible sur AWS Bedrock dans plusieurs régions, mais l'AWS European Sovereign Cloud (eusc-de-east-1), lancé en janvier 2026, n'héberge pas encore les modèles Claude au moment où nous écrivons ces lignes.7 Pour une banque sous DORA ou un hôpital sous HDS, ce point reste un sujet de cadrage contractuel. La sandbox EU ne supprime pas la dépendance au LLM hébergé hors UE.

Enfin, les MCP tunnels sont en research preview, pas en production. Anthropic n'a pas publié de SLA. Un RSSI prudent ne basera pas un workflow critique sur cette brique avant la bascule en GA. Pour un POC ou un projet pilote, oui. Pour la qualification automatique de 12 000 emails bancaires par jour en horaire ouvré, non.

Ce qu'il faut retenir

Conclusion

L'annonce d'Anthropic ne fait pas de Claude un agent souverain. Elle fait de Claude un agent acceptable pour un comité de risque français bien outillé. La différence est utile, et pour beaucoup de projets bloqués depuis 2024 elle suffit à débloquer une signature.

La vraie question pour 2026 n'est pas "Claude ou Mistral". C'est "où je veux que l'exécution tourne, et qu'est-ce que je perds à laisser l'agent loop ailleurs ?".

Vous voulez cadrer un agent IA conforme côté français, branché à votre CRM ou à votre ERP, avec exécution maîtrisée ? Parlez à un expert Webotit ou estimez le ROI d'un agent IA métier.

Questions frequentes

Qu'est-ce que la sandbox self-hostée de Claude Managed Agents ?

La sandbox self-hostée est une fonctionnalité annoncée par Anthropic le 19 mai 2026 à Code with Claude London. Elle permet à l'exécution des outils d'un agent Claude — scripts, appels API, lecture de fichiers — de tourner sur votre propre infrastructure ou chez un fournisseur géré (Cloudflare, Daytona, Modal, Vercel) plutôt que sur l'infrastructure d'Anthropic. L'agent loop, lui, reste hébergé par Anthropic. La fonctionnalité est en bêta publique.

Qu'est-ce qu'un MCP tunnel chez Anthropic ?

Un MCP tunnel est un tunnel chiffré sortant qui relie un agent Claude à un serveur Model Context Protocol hébergé dans votre réseau privé, sans ouvrir d'entrée firewall. L'agent atteint vos outils internes via une connexion sortante depuis votre réseau vers Anthropic, comme un Cloudflare Tunnel inversé. La fonctionnalité est en research preview au 22 mai 2026 et n'a pas de SLA officiel.

Claude Managed Agents est-il RGPD-compatible pour une entreprise française ?

Claude est utilisable sous RGPD en s'appuyant sur le DPA d'Anthropic (article 28), les certifications ISO 42001 et ISO 27001:2022, et une analyse d'impact côté client. La sandbox self-hostée et les MCP tunnels réduisent la surface d'exposition de la donnée, ce qui simplifie le cadrage. Mais le LLM lui-même reste hébergé hors UE au 22 mai 2026 — Claude n'est pas encore disponible sur AWS European Sovereign Cloud. La conformité dépend donc du secteur (banque, santé, opérateur d'importance vitale) et du contrat.

Quelle est la différence entre la sandbox Cloudflare, Vercel, Modal et Daytona pour un projet Claude français ?

Cloudflare offre des microVMs et V8 Isolates avec une présence européenne forte, donc la combinaison la plus simple à défendre devant un comité de risque français. Vercel propose des VM faible latence pour des cas front-end ou e-commerce. Modal cible le compute GPU lourd, principalement en US-East — moins adapté à une banque sous DORA. Daytona offre des VM longue durée, projet plus récent avec un footprint EU moins documenté.

Faut-il préférer Claude self-hosted à Mistral pour un projet agent IA souverain en France ?

Pas systématiquement. Claude avec sandbox self-hostée et MCP tunnels couvre l'exécution des outils et l'accès aux serveurs MCP internes, mais l'agent loop reste sur l'infrastructure d'Anthropic. Mistral AI Studio héberge à la fois le modèle et l'orchestration en Europe. Pour une exigence de souveraineté complète (banque publique, opérateur d'importance vitale, secteur défense), Mistral ou une pile self-host open-weight reste l'option la plus directe. Pour un projet où l'enjeu principal est de retirer la donnée de l'infrastructure tierce sans imposer une rupture de fournisseur LLM, Claude self-hosted suffit souvent.

Sources et references

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
AnthropicClaudeManaged AgentsMCP tunnelssandboxself-hostingDSIRSSIsouveraineté

Articles associés