Intermédiaire 12 minHardening

Chiffrer le disque des modèles

Un LLM local sur un portable, c'est confidentiel tant que l'ordi reste sous votre œil. Vol d'un MacBook Pro dans un train, perte d'une clé USB de modèles, saisie d'un poste en cas de litige — toutes ces situations exposent vos conversations en clair si le disque n'est pas chiffré. Ce guide couvre FileVault, BitLocker, LUKS, et comment chiffrer juste le disque des modèles sans toucher à l'OS.

Par Mohamed Meguedmi·Màj 2026-01-22·Testé sur Windows, macOS, Linux

#Pourquoi chiffrer

Vol/perte de matériel
Sans chiffrement, un disque retiré et branché ailleurs donne accès à tout en clair.
Obligations RGPD/HDS
Le chiffrement au repos est explicitement recommandé voire obligatoire selon le contexte (santé, banque).
Audit
Disque chiffré = élément de preuve en cas de contrôle. Disque en clair = aggravant en cas de fuite.
Coût
Zéro ou presque. Tous les OS modernes supportent le chiffrement natif avec perfs imperceptibles.
!
Sauvegarde de la clé de récupération
Perdre la clé de récupération = perdre les données. Sauvegardez-la dans un coffre-fort physique (ou numérique type 1Password/Bitwarden). Pas dans un fichier sur le même ordi.

#1. macOS : FileVault

FileVault chiffre tout le disque système avec AES-XTS 256-bit. Activation en 3 clics, aucun impact perf notable sur Apple Silicon (accélération matérielle).

  1. 01
    Ouvrez Préférences Système → Confidentialité et sécurité → FileVault
    Ou : System Settings → Privacy & Security → FileVault.
  2. 02
    Cliquez Activer
    macOS demande la méthode de récupération : clé locale OU compte iCloud.
  3. 03
    Privilégiez la clé locale
    Pour une sécurité maximale. Notez-la sur papier, stockez en coffre. Pas d'iCloud si vos données sont sensibles.
  4. 04
    Laissez tourner
    Le chiffrement en arrière-plan prend quelques heures pour un disque plein. Vous pouvez continuer à travailler pendant.
Vérifier l'état
Terminal : fdesetup status. Doit répondre "FileVault is On." Au démarrage, la saisie du mot de passe utilisateur déverrouille le disque.

#2. Windows : BitLocker

BitLocker est le chiffrement natif Windows, disponible sur Pro/Enterprise/Education (pas sur Home sans astuce). Perf quasi transparente avec puce TPM 2.0.

  1. 01
    Ouvrez le panneau BitLocker
    Recherchez "Gérer BitLocker" dans le menu Démarrer.
  2. 02
    Activez BitLocker sur C:
    Choisir "Nouveau mot de passe" + "TPM + PIN" pour le niveau de sécurité max (protection contre démarrage direct).
  3. 03
    Sauvegardez la clé
    Fichier .txt imprimé. NE PAS choisir la sauvegarde Microsoft (qui met une copie chez eux).
  4. 04
    Chiffrement complet ou espace utilisé
    Sur un nouveau PC : "espace utilisé seulement" (rapide). Sur un PC qui contient déjà des données : "chiffrement complet" (plus lent mais scrube l'espace libre).
!
Home edition
Windows 11 Home n'a pas BitLocker officiel. Il y a un "chiffrement d'appareil" automatique sur les machines compatibles, qui sync la clé vers votre compte MS. Pour de l'air-gap, installez VeraCrypt à la place.

#3. Linux : LUKS (disque complet)

LUKS (Linux Unified Key Setup) est le standard Linux. Se configure à l'installation du système, ou par-dessus une install existante (plus galère).

  1. 01
    À l'install Ubuntu/Fedora
    L'option "Chiffrer la nouvelle installation" coche LUKS par défaut. Mot de passe, c'est fait.
  2. 02
    Vérifier post-install
    sudo cryptsetup status /dev/mapper/cryptroot — doit montrer des détails LUKS.
  3. 03
    Démarrage
    Saisie du mot de passe juste avant GRUB/systemd. Un mot de passe + un mot de passe utilisateur séparés = deux couches.

#4. Linux : LUKS sur un disque de modèles (sans toucher l'OS)

Cas courant : vous avez un SSD d'OS non chiffré (pour des raisons x), vous voulez chiffrer uniquement un deuxième SSD dédié aux modèles et aux conversations.

Setup LUKS sur /dev/sdb
# ATTENTION : efface tout le disque
sudo cryptsetup luksFormat /dev/sdb

# Ouvrir le volume déchiffré
sudo cryptsetup open /dev/sdb models

# Formater en ext4
sudo mkfs.ext4 /dev/mapper/models

# Monter
sudo mkdir /mnt/models
sudo mount /dev/mapper/models /mnt/models

# Pointer Ollama dessus
# Dans l'override systemd :
Environment="OLLAMA_MODELS=/mnt/models/ollama"
Auto-montage au boot via /etc/crypttab
# /etc/crypttab
models  /dev/sdb  /root/.models.key  luks,noauto

# /etc/fstab
/dev/mapper/models  /mnt/models  ext4  defaults,noauto  0  2

# La clé en fichier est pratique mais à protéger :
sudo chmod 0400 /root/.models.key

#5. Partage chiffré (NAS)

Si votre setup inclut un NAS (Synology, TrueNAS, QNAP) qui stocke modèles ou backups :

TrueNAS
Datasets ZFS avec chiffrement natif. Clé gérée par vous, pas par le vendor.
Synology
Shared folders chiffrés (AES-256). Clé à déverrouiller manuellement au boot — utile pour ne pas déverrouiller automatiquement.
QNAP
Même chose. QTS permet le volume entier chiffré.

#Sauvegarde sans compromettre

Sauvegarder vers un disque chiffré
Un backup sur un disque USB en clair annule le chiffrement du poste source. Le disque de backup doit aussi être chiffré (même outil).
Borg / Restic
Ces outils de backup chiffrent à la source avant d'écrire. Vous pouvez alors pousser vers un NAS ou un cloud sans exposer les données.
Pas de backup cloud non-chiffré
Backblaze, Arq, iCloud : assurez-vous que le chiffrement est bout-en-bout avec clé que VOUS seul possédez. Sinon, le provider peut techniquement lire.
Ce guide vous a aidé ?

Un retour, une erreur, une précision ? Faites-nous signe, ça améliore le guide pour tout le monde.