MCP Tunnels & Sandboxes Auto-Hébergés Claude : Guide Entreprise 2026
MCP Tunnels Claude et sandboxes auto-hébergés : guide entreprise 2026. Connecter Claude au réseau privé via cloudflared, Cloudflare, Daytona, Modal, Vercel.
Sommaire
---
MCP Tunnels Claude : la promesse en une phrase {#promesse}
Les MCP Tunnels Claude permettent à vos agents IA d'atteindre les serveurs Model Context Protocol qui tournent à l'intérieur de votre réseau privé, sans ouvrir un seul port entrant, sans exposer d'endpoint public, et sans autoriser les plages IP d'Anthropic sur votre origine. Couplés aux sandboxes auto-hébergés, ils permettent enfin de déployer des agents Claude en production dans un périmètre d'entreprise sans casser les boundaries de sécurité existantes.
Annoncés le 19 mai 2026 à Code with Claude London, ces deux features changent la donne pour toute DSI qui hésitait à adopter [Claude Managed Agents](/blog/claude-managed-agents-entreprises-2026) à cause des contraintes réseau et conformité.
Voici le guide complet pour comprendre l'architecture, configurer un tunnel, choisir un provider de sandbox et éviter les pièges classiques.
Pourquoi Anthropic lance les MCP Tunnels et sandboxes auto-hébergés ? {#pourquoi}
Le problème que résolvent ces deux annonces est ancien et récurrent dans tous les déploiements IA en entreprise.
Le mur entre l'IA et le SI interne
Jusqu'à mai 2026, déployer un agent Claude qui devait lire une base de données interne, créer un ticket Jira on-premise ou interroger un knowledge base privé impliquait l'une des trois options suivantes, toutes mauvaises :
| Option | Pourquoi c'est mauvais |
|---|---|
| Exposer le serveur MCP en public + auth | Surface d'attaque énorme, audit interminable, refus du RSSI |
| Allowlister les plages IP d'Anthropic | Liste mouvante, casse à chaque rotation IP, faux sentiment de sécurité |
| Reverse proxy + tunnel manuel maison | Coût d'ingénierie, single point of failure, pas de support |
Les équipes finissaient soit par renoncer, soit par construire un POC bancal qui ne passait jamais en prod. Les MCP Tunnels et les sandboxes auto-hébergés sont la réponse industrielle d'Anthropic à ce blocage.
Les deux moitiés d'un même problème
Ensemble, ils permettent à la logique d'orchestration de l'agent de rester chez Anthropic (gestion du contexte, planification, gestion d'erreurs) tandis que les données et l'exécution restent chez vous. C'est le pattern "cerveau dehors, mains dedans" qui réconcilie expertise IA managée et souveraineté infrastructure.
Comment fonctionnent les MCP Tunnels Claude ? {#fonctionnement-tunnels}
Un MCP Tunnel Claude est une connexion sortante chiffrée de bout en bout entre un gateway léger que vous déployez et l'edge tunnel opéré par Anthropic. Le gateway porte deux composants standardisés.
Composant 1 : cloudflared
cloudflared est l'agent tunnel qui initie une connexion outbound-only vers l'edge Anthropic et transporte le trafic chiffré dans les deux sens. C'est le même binaire que celui qu'utilisent déjà des milliers d'entreprises pour exposer leurs apps via Cloudflare Tunnel, ce qui rassure les équipes infra sur la maturité du code.
L'avantage de l'outbound-only est radical : votre firewall n'a aucune règle entrante à modifier, aucun port à ouvrir, et aucun endpoint public à protéger.
Composant 2 : le proxy MCP
Le proxy reçoit le trafic en sortie du tunnel, termine le mTLS interne, valide les IPs upstream et route les requêtes vers le bon serveur MCP selon le hostname demandé. C'est lui qui permet d'exposer plusieurs serveurs MCP métier (un pour la base clients, un pour Jira, un pour le knowledge base) derrière un seul tunnel.
Le flux complet en sept étapes
cloudflared.cloudflared la passe au proxy MCP local.Aucune donnée n'a quitté votre réseau en clair, aucune règle inbound n'a été modifiée, et la communication est sécurisée par mutual TLS doublée d'une couche de chiffrement Anthropic indépendante du transport.
Sandbox auto-hébergé Claude : architecture et flux d'exécution {#sandbox-architecture}
Le sandbox auto-hébergé Claude (public beta depuis mai 2026) répond à la question miroir : où s'exécute le code que l'agent produit et lance ?
Le modèle "environment worker"
Vous déployez un environment worker sur votre propre infrastructure. C'est un processus qui reçoit les demandes d'exécution de tools depuis Anthropic et les lance localement. La séparation des responsabilités est nette :
| Couche | Qui l'opère | Ce qu'elle fait |
|---|---|---|
| Agent loop | Anthropic | Orchestration, contexte, retries, gestion d'erreur |
| Work queue | Anthropic | Pousser les tool calls vers le worker client |
| Environment worker | Vous | Récupérer les tâches, exécuter localement, renvoyer les résultats |
| Filesystem & secrets | Vous | Tout reste dans votre cloud, jamais exposé à Anthropic |
Concrètement, le worker claim des items de la queue, crée un contexte d'exécution par session, télécharge les skills de l'agent, exécute les tool calls localement et poste les résultats. Le tout en gardant fichiers, secrets et services dans votre périmètre.
En quoi c'est différent de l'isolation Docker classique
Un [devcontainer Claude Code isolé dans Docker](/blog/isoler-claude-code-docker-sandbox-devcontainer-2026) protège votre machine locale des erreurs d'un agent qui tourne en client lourd. Un sandbox auto-hébergé Claude protège l'agent managé Anthropic d'aller toucher des choses qu'il ne devrait pas, tout en lui donnant un environnement complet pour exécuter ses outils dans votre cloud. Les deux ne s'opposent pas, ils s'utilisent dans des scénarios distincts (dev local vs production multi-tenant).
Quels providers gérés pour héberger sa sandbox ? {#providers}
Au lancement, quatre partenaires sont certifiés Self-Hosted Sandbox Claude, plus une option BYO (Bring Your Own).
Cloudflare
Isolation par microVM, injection de secrets zero-trust, proxies d'egress personnalisables, et les agents peuvent atteindre vos services internes via le réseau Cloudflare. C'est l'option par défaut quand vous êtes déjà sur l'écosystème Cloudflare (Workers, R2, D1).
Daytona
Sandboxes stateful longue durée accessibles en SSH ou via URLs d'aperçu authentifiées. Supporte pause-and-restore avec rétention d'état complète — utile pour les workflows interrompus qui doivent reprendre où ils en étaient sans recharger tout le contexte.
Modal
Spécialisé compute scientifique et workloads GPU. Idéal si vos tools incluent du training fine ML, du traitement vidéo lourd ou des inférences de modèles annexes.
Vercel
Sécurité VM-level combinée à du VPC peering et du Bring-Your-Own-Cloud. Adapté aux équipes déjà sur Vercel pour leurs apps frontend qui veulent réutiliser leur infra existante.
BYO sandbox
Si aucun des quatre ne correspond, vous pouvez écrire votre propre worker en suivant le protocole décrit dans la doc Anthropic. C'est l'option choisie par les boîtes très régulées (banque, défense) qui veulent zéro dépendance tierce au-delà d'Anthropic. Pour comparer cette approche à un déploiement plus traditionnel via le [Claude Agent SDK](/blog/claude-agent-sdk-creer-agents-ia), le SDK auto-hébergé reste pertinent quand vous voulez aussi rapatrier la boucle d'orchestration.
Comment configurer un MCP Tunnel pas à pas ? {#configurer-tunnel}
Voici le chemin court pour exposer un serveur MCP privé à un agent Claude sans ouvrir de port entrant. Le pré-requis : avoir un serveur MCP qui tourne localement (Python ou TypeScript). Si ce n'est pas le cas, suivez d'abord notre guide [Créer un serveur MCP Claude Code en Python ou TypeScript](/blog/creer-serveur-mcp-claude-code-python-typescript-2026).
Étape 1 — Installer cloudflared
Sur macOS :
brew install cloudflare/cloudflare/cloudflaredSur Debian/Ubuntu :
curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb -o cloudflared.deb
sudo dpkg -i cloudflared.debSur Windows, téléchargez le binaire depuis la page Releases GitHub officielle de cloudflared.
Étape 2 — Test rapide via Quick Tunnel
Pour valider votre setup en moins d'une minute, lancez un quick tunnel jetable :
cloudflared tunnel --url http://localhost:3000Cloudflared affiche une URL du style https://. Votre endpoint MCP devient alors https://. Pratique pour tester, mais jamais à utiliser en production (URL aléatoire, pas d'auth, expire à l'arrêt du process).
Étape 3 — Tunnel nommé en production
Pour la prod, créez un tunnel persistant rattaché à votre compte :
cloudflared tunnel login
cloudflared tunnel create claude-mcp-prodLa commande login ouvre votre navigateur, dépose un cert.pem dans ~/.cloudflared/ et autorise la création de tunnels. La commande create génère un fichier de credentials dans ~/.cloudflared/.
Étape 4 — Fichier config.yml
Créez ~/.cloudflared/config.yml qui route le trafic vers votre serveur MCP :
tunnel: <ID-DU-TUNNEL>
credentials-file: /home/user/.cloudflared/<ID-DU-TUNNEL>.json
ingress:
- hostname: mcp-interne.exemple-corp.com
service: http://localhost:3000
- service: http_status:404Lancez ensuite le tunnel persistant :
cloudflared tunnel run claude-mcp-prodÉtape 5 — Déclarer le tunnel dans la Claude Console
Dans la Claude Console (workspace settings), section *Managed Agents → MCP Tunnels*, ajoutez votre tunnel en collant l'URL d'endpoint et la configuration d'auth (mTLS, OAuth, ou bearer selon votre besoin). Une fois validé, vos agents managés et la Messages API verront le serveur MCP comme un tool disponible standard.
Étape 6 — Vérifier le flux complet
Lancez un message test depuis la Claude Console à votre agent en lui demandant d'utiliser un tool exposé par le serveur MCP privé. Surveillez en parallèle les logs de cloudflared : vous devez voir des requêtes arriver, sans aucun port entrant ouvert sur votre infra.
Pour les équipes qui veulent industrialiser le déploiement de plusieurs tunnels, regardez [comment l'API construit avec Claude Code chez immoapi.app gère ses endpoints sécurisés](https://immoapi.app) — un bon exemple de pattern multi-tunnel appliqué à un produit en production.
Cas d'usage entreprise des MCP Tunnels Claude {#cas-usage}
Concrètement, qu'est-ce qu'on débloque le jour où l'on déploie un MCP Tunnel ? Voici les patterns que les premières équipes en bêta exploitent déjà.
Accès aux bases de données internes
Un agent Claude qui lit votre PostgreSQL on-premise pour répondre à des questions analytics, sans copier les données vers un entrepôt tiers. Le serveur MCP expose des tools query_orders, get_customer, list_invoices avec des permissions fines. La donnée ne sort jamais du périmètre.
Tickets et workflows internes
Création et update de tickets Jira/ServiceNow hébergés en VPC privé. L'agent peut transformer une conversation Slack en ticket structuré, attribuer le bon assignee, ajouter les bons labels. Aucune exposition publique de votre instance ITSM.
Knowledge bases confidentielles
Indexation et requêtage d'un Confluence interne, d'une base Notion privée ou d'un wiki maison. L'agent répond aux questions internes (RH, processus, doc technique) en restant conforme à votre data residency — la donnée reste dans le pays/région où vous l'hébergez.
Orchestration cross-systèmes
Le cas le plus puissant : un agent qui combine plusieurs tunnels MCP pour orchestrer un workflow métier complet. Exemple : un agent commercial qui lit le CRM interne, vérifie les stocks dans l'ERP, génère un devis, envoie un email — chaque outil derrière son propre tunnel privé.
Pour les équipes qui exploitent ce type d'orchestration métier complexe, regardez aussi notre dossier sur [l'orchestration multi-agent Claude avec des fleets de spécialistes](/blog/claude-multiagent-orchestration-fleet-specialistes-2026) qui décrit comment scinder le travail entre agents.
Conformité RGPD et résidence des données
Pour les équipes européennes soumises au RGPD, le MCP Tunnel devient l'argument clé : les données traitées restent physiquement en Europe, dans votre datacenter ou votre cloud public régional. Anthropic n'a aucun accès au contenu transitant, seulement aux métadonnées de routage chiffrées. C'est ce qui rend possible le déploiement de Claude dans des secteurs régulés (banque, santé, secteur public).
Sécurité, conformité et limites actuelles {#securite}
Aucune solution n'est magique. Voici ce qu'il faut savoir avant de la pousser en prod.
Ce qui est solide
Les limites actuelles (juin 2026)
Bonnes pratiques sécurité immédiates
get_customer_by_id) plutôt que des tools génériques (run_sql_query).FAQ — MCP Tunnels et sandboxes Claude {#faq}
Quelle est la différence entre un MCP Tunnel Claude et un Cloudflare Tunnel classique ?
Un Cloudflare Tunnel classique expose votre service au public via une URL Cloudflare, avec ou sans Cloudflare Access en frontal. Un MCP Tunnel Claude réutilise la même brique technique (cloudflared) mais le trafic est routé exclusivement vers l'edge Anthropic, sans endpoint public, et est consommé uniquement par des agents Claude (Managed Agents ou Messages API). C'est un cas d'usage spécialisé, pas un tunnel généraliste.
Faut-il un compte Cloudflare pour utiliser les MCP Tunnels Claude ?
Non. cloudflared est le binaire utilisé, mais il se connecte directement à l'edge tunnel Anthropic, pas à Cloudflare. Aucun compte Cloudflare n'est requis. Le binaire est open source et utilisé sous licence permissive.
Un sandbox auto-hébergé Claude est-il utilisable en dehors des Managed Agents ?
Pour l'instant, non. Les self-hosted sandboxes sont rattachés à la plateforme Managed Agents. Pour un usage en client lourd type Claude Code Desktop, l'approche reste l'[isolation Docker locale via devcontainer](/blog/isoler-claude-code-docker-sandbox-devcontainer-2026). Les deux ne se substituent pas.
Combien coûte un MCP Tunnel Claude ?
À l'heure actuelle (juin 2026), les MCP Tunnels sont en research preview gratuit sur demande. La tarification commerciale n'est pas publiée. Anthropic indique que ce sera inclus dans les forfaits entreprise Claude Platform avec des quotas à définir. Pour les coûts globaux de Claude Code, voyez notre dossier [combien coûte Claude Code en 2026](/blog/combien-coute-claude-code-prix-abonnement-api-2026).
Quel provider de sandbox choisir entre Cloudflare, Daytona, Modal et Vercel ?
Règle empirique simple : Cloudflare si vous êtes déjà sur leur stack, Daytona si vous avez besoin de sessions stateful longues avec pause-restore, Modal si vous faites du compute lourd (GPU, ML), Vercel si votre frontend tourne déjà chez eux. Pour un POC neutre, Cloudflare est le plus rapide à mettre en place.
Peut-on combiner MCP Tunnel et sandbox auto-hébergé dans un même déploiement ?
Oui, et c'est même le pattern recommandé pour les déploiements entreprise sérieux. Le sandbox auto-hébergé gère où s'exécutent les tools, le MCP Tunnel gère comment ils accèdent à vos données internes. Ensemble, vous obtenez une boucle agent complète sans qu'aucune donnée sensible quitte votre périmètre.
Les MCP Tunnels sont-ils compatibles avec l'écosystème open source ?
Oui. Vos serveurs MCP exposés via un tunnel peuvent être écrits dans n'importe quel langage supporté par MCP (Python avec FastMCP, TypeScript avec le SDK officiel, Go, Rust). Pour des projets full open-source qui veulent rester à distance d'un seul vendor IA, regardez aussi [l'écosystème OpenClaw pour des agents auto-hébergés](https://formation-openclaw.com) qui pousse une approche complémentaire.
Y a-t-il un risque que mon serveur MCP privé soit interrogé par d'autres workspaces Claude ?
Non. Chaque MCP Tunnel est rattaché à un workspace spécifique dans la Claude Console, et seuls les agents de ce workspace peuvent l'appeler. Le routage est fait sur la base du token de workspace, pas sur l'URL.
Ressources complémentaires {#ressources}
Envie de maîtriser Claude Code ?
Rejoignez notre formation complète et apprenez à utiliser Claude Code comme un pro.
Découvrir la formation