Permissions & modes de permission

🟡Intermédiaire

✅

Dernière vérification : 2026-06-20.

La syntaxe exacte des règles et le nom des modes évoluent — vérifiez par rapport à la documentation officielle des réglages/permissions de Claude Code.

Vérifiez auprès de la source officielle.

Les permissions décident ce que Claude Code peut faire sans s'arrêter pour vous demander. Bien réglées, vous obtenez de la fluidité sans perdre le contrôle ; mal réglées, soit vous validez tout machinalement, soit vous croulez sous les invites.

Les trois verdicts

Chaque action potentielle se résout en l'un de ces verdicts :

• allow — fais-le, sans invite.
• ask — fais une pause et demande-moi (le réglage par défaut pour tout ce qui n'est pas explicitement autorisé/refusé).
• deny — jamais, même si on le demande.

Les règles correspondent généralement à un outil plus un motif, par exemple autoriser Bash(npm run test:*) ou refuser Read(./.env).

Modes de permission

Un mode définit la posture globale d'une session :

Mode	Comportement	À utiliser quand
default / ask	Demande pour tout ce qui n'est pas pré-autorisé	Travail quotidien
plan	Lecture seule ; propose, n'agit jamais	Tâches importantes/risquées — voir le Mode Plan
acceptEdits	Accepte automatiquement les modifications de fichiers	Une session d'édition de confiance, bien cadrée
bypass / yolo	Saute entièrement les invites	Bacs à sable/CI uniquement — jamais sur une machine contenant des secrets

:::warning Le bypass a sa place dans un bac à sable Tourner avec toutes les invites désactivées sur votre vraie machine, c'est ainsi qu'un agent finit par toucher quelque chose qu'il ne devrait pas. Réservez-le aux environnements jetables. Voir Sécuriser les exécutions autonomes. :::

Une liste d'autorisations de départ raisonnable

Le but : pré-autoriser les choses sûres et répétitives ; garder les choses destructrices en ask ou deny.

• Allow : lire des fichiers, exécuter vos commandes de test/lint/build, git status/diff.
• Ask : installer des dépendances, écrire des fichiers en dehors du projet, appels réseau.
• Deny : lire des fichiers secrets (.env, fichiers de clés), force-push, rm -rf.

Stockez les règles de projet dans settings.json (partagé) et les surcharges personnelles dans settings.local.json.

:::tip Laissez-le apprendre de vos invites Approuvez la même commande sûre quelques fois et vous saurez exactement quoi ajouter à votre liste d'autorisations — transformant des invites répétées en une règle unique. :::

Et après

• settings.json : le système de configuration
• Hooks — appliquez des règles de manière déterministe, au-delà du allow/deny
• Sécurité & usage responsable