Guide pratique pour gérer les variables d'environnement et les secrets avec Claude Code

Committer par inadvertance une clé API sur GitHub et se mettre à suer à grosses gouttes — tout développeur est passé par là. 90 % des fuites de secrets sont des erreurs humaines. En intégrant Claude Code, vous pouvez imposer la sécurité de façon mécanique, de la configuration du .env à la détection, la rotation et la réponse aux incidents.

1. Automatiser la configuration de .env

Les nouveaux développeurs peinent à rassembler les variables d’environnement. Générez-les depuis .env.example.

claude -p "
Read .env.example and interactively create a .env for this project.

For each variable:
1. What it's for
2. Where to get it (with URLs)
3. Recommended local dev value
4. Required or optional

Confirm .env is gitignored before saving.
"

Accélère considérablement l’onboarding des nouveaux développeurs.

2. Bloquer les commits accidentels via pre-commit

Attrapez les secrets dès qu’on lance git commit.

claude -p "
Create .husky/pre-commit.

Requirements:
- Check staged files for:
  - AWS access keys: AKIA[0-9A-Z]{16}
  - Stripe: sk_live_[0-9a-zA-Z]{24}
  - GitHub PAT: ghp_[0-9a-zA-Z]{36}
  - Generic API-key-looking strings
- Reject commit and show file/line on detection
- Allow // secrets-ignore comment for false positives

Also compare with trufflehog and gitleaks, and
recommend a team-friendly setup.
"

gitleaks est le standard du secteur — couplé à Claude Code, il peut corriger automatiquement les détections.

3. Auditer l’historique de commits existant

Vérifiez s’il reste des fuites passées.

claude -p "
Scan the entire commit history for secrets:

1. Run gitleaks detect --source . --no-git
2. Categorize findings (active / already revoked / false positive)
3. For active leaks, show immediate rotation steps
4. Git history purge steps (git filter-branch or BFG Repo Cleaner)

Output to docs/security/secret-audit.md (treat as confidential).
"

:::message alert Secrets fuités = révoquer et faire tourner immédiatement

Même après avoir purgé l’historique, supposez que les forks et les caches l’ont déjà. :::

4. Garder .env.example synchronisé

Mettez .env.example à jour automatiquement quand .env change.

claude -p "
Compare .env and .env.example:

1. Vars in .env but not .env.example → add with placeholders
2. Vars in .env.example but not .env → propose removal if obsolete
3. Improve comments (purpose docs)
4. Confirm secret values remain as placeholders

Save .env.example in a git-diff-reviewable state.
"

5. Migrer les secrets de production vers un Secrets Manager

Déplacez les secrets de prod de .env vers AWS Secrets Manager / Cloudflare Secrets / Doppler.

claude -p "
Migrate 10 production secrets from .env to AWS Secrets Manager:

1. aws secretsmanager create-secret commands
2. Least-privilege IAM read policy
3. App-side fetch code (with caching)
4. Deploy procedure (cut over from .env)
5. Rollback plan

Output Terraform definitions too.
"

État final : plus aucun secret de production dans le code ni dans les dépôts.

6. Planifier une rotation régulière des secrets

Rotation tous les 90 jours, automatiquement.

claude -p "
Design a script to auto-rotate API keys for Stripe, OpenAI, Resend every 90 days:

1. Issue new keys via each service's API
2. Save to Secrets Manager / Cloudflare Secrets
3. Trigger deploy to pick up new keys
4. Revoke old keys
5. Append to docs/security/rotation-log.md

Provide a monthly GitHub Actions schedule YAML.
"

La rotation à 90 jours est de toute façon souvent une exigence de conformité.

7. Playbook d’incident en cas de fuite

Préparez-vous pour ne pas paniquer le jour J.

claude -p "
Write docs/security/incident-playbook.md for:

Scenario: AWS access key accidentally committed to a public GitHub repo

0-15 min:
- Revoke key in AWS Console
- Make the repo private

15 min - 1 hour:
- Check CloudTrail for unauthorized use
- Remove key from git history (git filter-branch)
- Issue new key, register in Secrets Manager

1 hour+:
- Notify security team
- Decide on customer disclosure

Include exact commands and designated owners.
"

Encoder les règles de sécurité dans CLAUDE.md

Contraignez le comportement de Claude Code lui-même.

## Secret Handling Rules

### Forbidden
- Hardcoding .env values in source code
- Logging API keys (including console.log)
- Putting secrets in comments
- Putting secrets in README / docs

### Required
- Update .env.example whenever API keys change
- Register new external service keys in Secrets Manager
- Pre-commit secret scan must pass

### AI Instructions
- Always use process.env.XXX for key values in generated code
- Never copy .env contents elsewhere
- Route secret-related changes through human review

Cela réduit la probabilité que Claude Code code en dur une clé par accident.

Anti-patterns

❌ Laisser .env.example dériver

Les nouveaux arrivants ne peuvent plus lancer l’application, c’est le chaos. Gardez-les synchronisés.

❌ Partager les clés API dans Slack / Zoom

Elles vivent pour toujours dans l’historique. Utilisez des outils de partage de secrets (1Password / Doppler).

❌ Logger des données sensibles

console.log(req.headers) expose le header Authorization. Masquez agressivement.

❌ Se dire « personne ne le verra »

Les bots détectent et exploitent les clés en 5 secondes. Considérez chaque commit comme public.

Conclusion

• Configurer .env de façon interactive
• Pre-commit détecte les fuites de secrets
• Auditer l’historique des commits
• Garder .env.example synchronisé
• Migrer les secrets de prod vers un Secrets Manager
• Automatiser la rotation à 90 jours
• Préparer un playbook d’incident
• Contraindre le comportement de l’IA dans CLAUDE.md

La gestion des secrets est un problème systémique. Claude Code vous permet de passer de contrôles ad hoc à des filets de sécurité mécaniques.

Articles liés : Audit de sécurité / En-têtes de sécurité web / Guide des Hooks

Documentation officielle : Anthropic Claude Code / gitleaks