Quand un agent IA doit écrire du code, interroger votre base documentaire ou appeler une API interne, la question qui bloque les DSI n'est pas « en est-il capable ? » mais « où tout ça s'exécute-t-il ? ». Le 19 mai 2026, lors du Code with Claude London, Anthropic a apporté une réponse directe : deux nouvelles fonctionnalités pour Claude Managed Agents permettent désormais de déployer des agents IA en gardant l'exécution dans votre périmètre réseau, sans renoncer à la puissance d'orchestration de Claude.
Ces deux fonctionnalités — les sandboxes auto-hébergées (bêta publique) et les tunnels MCP (research preview) — répondent à deux problèmes distincts mais complémentaires. Les sandboxes traitent la question où s'exécutent les outils de l'agent. Les tunnels MCP traitent la question comment l'agent accède à vos systèmes internes sans les exposer sur internet.
Pour les entreprises qui hésitaient à déployer des agents IA en raison de contraintes de sécurité, de souveraineté de données ou de conformité réglementaire, ce doublon d'annonces marque un tournant concret. Voici ce que ces fonctionnalités font, pourquoi elles importent, et ce qu'elles ouvrent comme scénarios pour les PME/ETI françaises.
Claude Managed Agents : qu'est-ce que c'est ?
Claude Managed Agents est la couche d'orchestration d'Anthropic pour les agents IA multi-étapes. Elle prend en charge le loop d'agent : planification des sous-tâches, appels d'outils séquentiels, gestion du contexte longue durée, récupération sur erreur. Les entreprises qui l'intègrent bénéficient d'une infrastructure d'agent prête à l'emploi sans avoir à développer cette logique d'orchestration elles-mêmes.
L'enjeu de fond : jusqu'à présent, l'exécution des outils — ce que l'agent « fait » physiquement (écrire et exécuter du code, manipuler des fichiers, appeler des API internes) — se passait dans des environnements gérés par Anthropic ou dans des sandboxes partagées. Pour les entreprises avec des politiques de sécurité strictes — secteur bancaire, santé, industrie, secteur public — c'était souvent un bloqueur rédhibitoire à tout déploiement d'agent IA réel.
Les deux nouvelles fonctionnalités adressent ce bloqueur en séparant l'orchestration (qui reste chez Anthropic) de l'exécution et de l'accès aux ressources (qui peuvent désormais rester dans votre infrastructure). C'est un changement architectural significatif pour l'adoption enterprise des agents IA autonomes.
Ces fonctionnalités s'inscrivent dans la continuité des efforts d'Anthropic sur l'IA pour les entreprises, après les annonces sur Claude Opus 4.8 plus tôt en mai 2026. Pour comprendre les fondements du protocole MCP, voir notre article WebMCP et les agents IA.
Les sandboxes auto-hébergées (bêta publique)
Les sandboxes auto-hébergées permettent de séparer où l'agent pense de où l'agent agit. L'orchestration (loop d'agent, gestion du contexte, planification des étapes) reste sur l'infrastructure Anthropic. Mais l'exécution des outils — run de code Python, manipulation de fichiers, appels HTTP — s'effectue dans un environnement que vous contrôlez.
Quels runtimes sont supportés ?
- Votre propre cloud (VPC AWS, Azure, GCP) ou votre datacenter on-premise
- Cloudflare Workers — exécution edge sans serveur dédié
- Daytona — environnements de développement cloud sécurisés
- Modal — serverless spécialisé pour les workloads ML et data
- Vercel — edge functions pour les agents orientés web
En pratique, vous configurez le endpoint de votre sandbox sur la plateforme Claude, avec les credentials nécessaires. L'agent envoie ensuite chaque appel d'outil vers votre endpoint — le code ne sort jamais de votre périmètre réseau. L'orchestration Anthropic reçoit uniquement le résultat de l'exécution, pas les données traitées intermédiaires.
Pourquoi c'est décisif pour les entreprises régulées
Les directions IT et juridiques des entreprises françaises s'inquiètent légitimement de où s'exécute le code d'un agent IA. Un agent qui analyse des données financières sensibles ne devrait pas faire tourner ses scripts Python sur des serveurs mutualisés hors périmètre. Un agent qui traite des dossiers médicaux doit rester dans un environnement certifié HDS. Les sandboxes auto-hébergées répondent directement à ces contraintes.
Pour les secteurs réglementés — banque, assurance, santé, industrie de défense — c'est souvent une condition préalable non négociable à tout déploiement d'agent IA en production. Cette fonctionnalité est disponible en bêta publique dès maintenant : aucune demande d'accès préalable n'est requise pour commencer à l'évaluer.
Les tunnels MCP pour l'accès privé
Le protocole MCP (Model Context Protocol) permet aux agents Claude d'utiliser vos systèmes internes comme des outils : bases de données, CRM, ERP, API métier, systèmes documentaires, ITSM. Mais exposer ces systèmes sur internet pour que l'agent puisse y accéder est souvent inacceptable sur le plan de la sécurité — et interdit par les politiques IT de la majorité des entreprises.
Les tunnels MCP inversent la logique de connectivité : c'est votre serveur MCP interne qui établit une connexion sortante chiffrée vers l'infrastructure Anthropic, et non l'inverse. Résultat concret :
- Aucune règle de firewall entrant à ouvrir sur votre réseau interne
- Aucun endpoint public pour votre base de données, votre ERP ou votre ITSM
- L'agent accède à vos systèmes via le tunnel chiffré, de bout en bout
- Connexion persistante sur une seule sortie HTTPS — modèle familier pour les équipes réseau
Comment ça fonctionne techniquement
Vous déployez un gateway léger dans votre réseau interne — un processus qui ouvre une connexion sortante chiffrée vers l'infrastructure Anthropic. Ce gateway établit un tunnel persistent. Quand l'agent Claude a besoin d'un outil MCP interne (lire des données de votre CRM, écrire dans votre ITSM, interroger une base de données), la requête transite par ce tunnel vers votre serveur MCP privé, qui répond. Le gateway relaie la réponse chiffrée. Votre serveur MCP n'a jamais eu d'adresse IP publique exposée.
Pour le DSI, c'est un modèle similaire à une connexion VPN sortante ou à un reverse proxy outbound — sans inbound, sans nouvelle surface d'attaque réseau côté interne. L'analogie la plus proche en termes d'architecture : Cloudflare Tunnel ou ngrok — mais avec chiffrement bout en bout et gouvernance Anthropic.
Les tunnels MCP sont actuellement en research preview : les entreprises intéressées doivent demander l'accès via la plateforme Claude. Les délais typiques sont de quelques semaines selon la file d'attente.
Cas d'usage concrets pour les PME/ETI
La combinaison des deux fonctionnalités ouvre des scénarios d'agents IA qui n'étaient pas réalisables dans des contraintes de sécurité enterprise. Voici trois cas concrets :
Agent d'analyse documentaire sur GED privée
L'agent accède à votre GED interne via tunnel MCP (aucune exposition internet), exécute des scripts d'extraction et de consolidation dans votre cloud privé via sandbox auto-hébergée, et produit un rapport structuré — sans que vos contrats, factures ou devis ne transitent jamais par des serveurs tiers. Zéro exfiltration de données sensibles.
Agent de support IT avec ITSM privé
L'agent consulte votre système de tickets ITSM via tunnel MCP (ServiceNow, Jira, etc., sans endpoint public), identifie les incidents similaires, génère et exécute des scripts de correction dans un environnement maîtrisé via sandbox, puis documente les résolutions — sans exposer votre infrastructure de ticketing.
Agent de reporting financier connecté à l'ERP
L'agent interroge votre ERP (SAP, Sage, Dynamics) via tunnel MCP, agrège les données dans votre VPC via sandbox, applique les règles de gestion et produit les tableaux de bord réglementaires — le tout dans votre périmètre, sans connexion ERP externe ni transit de données financières non chiffrées.
Ces architectures correspondent aux besoins concrets que nous accompagnons dans nos missions d'automatisation métier. Si votre entreprise souhaite déployer un agent IA sécurisé dans votre périmètre, parlons-en.
Points d'attention et mise en œuvre
Ces deux fonctionnalités sont significatives, mais plusieurs points méritent attention avant de planifier un déploiement en production :
- L'orchestration reste chez Anthropic : le loop d'agent (planification, contexte, erreurs) tourne toujours sur les serveurs Anthropic. Seuls l'exécution des outils et l'accès aux ressources MCP sont délocalisés. Les métadonnées de l'agent (quelle tâche, quel outil appelé, quel résultat renvoyé) transitent toujours par Anthropic. Pour les entreprises avec des contraintes de souveraineté totale ou de classification défense, ce point est à évaluer soigneusement.
- Sandboxes en bêta publique : l'API est stable, mais peut évoluer. Documenter vos intégrations et prévoir des tests de non-régression est recommandé dès la phase d'évaluation.
- Tunnels MCP en research preview : l'accès est sur demande. Si c'est un besoin critique dans votre roadmap, anticiper la demande 2 à 3 mois à l'avance.
- Coût infrastructure additionnel : faire tourner un sandbox soi-même ajoute un coût compute (cloud ou on-premise) à votre consommation Claude. À budgétiser explicitement dans votre business case.
- Compétences DevOps requises : configurer un sandbox custom ou déployer un gateway MCP tunnel nécessite des compétences infra/cloud. Ce n'est pas une configuration no-code.
Pour les entreprises qui construisent des architectures d'agents pérennes sur 2-5 ans, ces nouvelles primitives sont un bloc fondamental à intégrer dans la conception dès la phase d'architecture — pas à ajouter en cours de route.
FAQ — Agents Claude : sandboxes auto-hébergées et tunnels MCP pour garder vos données en périmètre
Qu'est-ce que Claude Managed Agents ?
Claude Managed Agents est l'infrastructure d'orchestration d'Anthropic pour les agents IA multi-étapes. Elle gère automatiquement le loop d'agent (planification, appels d'outils, récupération d'erreurs) sans que vous n'ayez à développer cette logique vous-même. Les entreprises l'intègrent via l'API de la plateforme Claude.
Quelle est la différence entre sandbox auto-hébergée et tunnel MCP ?
Les sandboxes auto-hébergées contrôlent où s'exécute le code de l'agent (votre infrastructure ou un provider de confiance comme Cloudflare, Daytona, Modal ou Vercel). Les tunnels MCP contrôlent comment l'agent accède à vos systèmes internes (via une connexion sortante chiffrée, sans exposition publique de vos serveurs). Les deux fonctionnalités sont complémentaires et indépendantes.
Les sandboxes auto-hébergées aident-elles à la conformité RGPD ?
Elles permettent de garder l'exécution du code dans votre périmètre, ce qui est souvent un prérequis pour certains traitements RGPD sensibles. Mais la conformité dépend de vos flux de données spécifiques. L'orchestration restant chez Anthropic, une analyse juridique de l'ensemble de vos traitements reste nécessaire.
Comment accéder aux tunnels MCP ?
Les tunnels MCP sont en research preview. Vous devez demander l'accès sur la plateforme Claude (platform.claude.com). Anthropic traite les demandes progressivement — anticipez quelques semaines de délai si c'est une priorité pour votre feuille de route.
Ces fonctionnalités permettent-elles un déploiement totalement on-premise ?
Partiellement. L'exécution des outils peut être 100% on-premise avec les sandboxes auto-hébergées. Mais l'orchestration (loop d'agent) reste sur Anthropic. Un déploiement 100% on-premise y compris l'orchestration nécessiterait un modèle open-source déployé localement avec votre propre orchestrateur d'agents.