PromptQuorumPromptQuorum
Accueil/LLMs locaux/Construire un flux de travail LLM sécurisé hors ligne
Privacy & Business

Construire un flux de travail LLM sécurisé hors ligne

·9 min de lecture·Par Hans Kuepper · Fondateur de PromptQuorum, outil de dispatch multi-modèle · PromptQuorum

Pour la confidentialité maximale, construisez un flux de travail isolé : serveur LLM hors ligne (zéro réseau), transfert de données via USB chiffré. Depuis avril 2026, cette approche est obligatoire dans les environnements haute sécurité (découverte juridique, données génétiques sensibles, recherche classifiée).

Pour la confidentialité maximale, construisez un flux de travail isolé : serveur LLM hors ligne (zéro réseau), transfert de données via USB chiffré. Depuis avril 2026, cette approche est obligatoire dans les environnements haute sécurité (découverte juridique, données génétiques sensibles, recherche classifiée). Conforme aux exigences de la CNIL et du RGPD en matière de protection des données. Mise en place : 1-2 jours ; charge opérationnelle modérée.

Points clés

  • Isolé = aucun réseau. Ethernet déconnecté, WiFi désactivé au BIOS, mobile désactivé.
  • Données entrantes : L'utilisateur chiffre les documents sur la machine connectée (GPG), transfère via USB vers le serveur isolé.
  • Inférence : Exécutez le LLM localement sur la machine isolée. Sortie chiffrée, sauvegardée sur USB.
  • Données sortantes : USB retourné à la machine connectée, déchiffré, examiné, approuvé pour publication.
  • Matériel : Machine dédiée (ne peut pas être partagée). Un ordinateur de bureau standard suffit.
  • Mise en place : 1-2 jours (durcissement du système, correctifs du micrologiciel, génération de clés).
  • Charge opérationnelle : environ 30 min par travail d'inférence (préparation des données, chiffrement, déchiffrement, examen).
  • Coûts : €1.000–€2.000 matériel + 0 € logiciel (open source).
  • vs approche VPN : Isolé est paranoïaque mais impénétrable. VPN est pratique mais le risque réseau demeure.

Architecture isolée

Machines :

1. Machine connectée (administrateur) : Accès internet, antivirus, pare-feu. Pour le stockage de clés GPG, la préparation de documents.

2. Serveur d'inférence isolé : Zéro réseau, port USB uniquement. Exécute le LLM, traite les données sensibles.

3. Facultatif : média amovible (USB) : Chiffré, stockage isolé pour transfert de données.

Configuration réseau :

- Serveur isolé sur multiprises isolée (peut être arrêté rapidement si nécessaire).

- Machine connectée sur réseau standard.

- Aucun système de fichiers partagé, aucun Bluetooth, aucun câble réseau.

- Séparation physique (pièces différentes recommandées).

Flux de transfert de données

  1. 1
    Utilisateur prépare : Document à analyser, sauvegardé localement sur la machine connectée.
  2. 2
    Chiffrer : `gpg --encrypt --recipient admin@societe.fr document.txt` → `document.txt.gpg`.
  3. 3
    Transférer : Copier `document.txt.gpg` sur clé USB. Éjecter l'USB de la machine connectée.
  4. 4
    Transfert physique : USB livré au emplacement de la machine isolée (courrier humain, enveloppe scellée).
  5. 5
    Déchiffrer et ingérer : `gpg --decrypt document.txt.gpg` → fichier texte brut. Supprimer le fichier .gpg.
  6. 6
    Inférence : Demande : « Analysez ce document : [CONTENU] ». Générer la réponse.
  7. 7
    Chiffrer la sortie : Chiffrer reponse.txt avec la même clé GPG.
  8. 8
    Retour physique : USB retourné à l'administrateur. L'administrateur déchiffre et examine avant le partage.
  9. 9
    Destruction : Effacer l'USB de façon sécurisée (DBAN ou broyage).

Chiffrement et gestion des clés

GPG (GNU Privacy Guard) : Standard du secteur pour le chiffrement de données au repos.

Configuration des clés : Générer une clé RSA 4096 bits sur la machine isolée. Exporter la clé publique vers la machine connectée.

Stockage : Clé privée sur machine isolée uniquement (ne quitte jamais la machine, même pas sur USB).

Mot de passe : Clé privée protégée par une passphrase solide (20+ caractères, stockée dans un gestionnaire de mots de passe verrouillé dans un coffre).

Rotation des clés : Tous les 1-2 ans, générer une nouvelle clé. Ancienne clé archivée mais non détruite (peut être nécessaire pour déchiffrer les anciennes données).

Gestion des sorties et copie papier

Après l'inférence :

1. Sortie numérique : Fichier chiffré sur USB, retourné à l'administrateur.

2. Option copie papier : Imprimer la réponse du LLM sur imprimante isolée (connectée USB uniquement, aucun réseau).

3. Sécurité copie papier : Document classifié (par exemple, en-tête/pied de page « CONFIDENTIEL »). Conservé dans un classeur verrouillé.

4. Destruction : Déchiqueter la copie papier après 6 ans (HIPAA) ou conformément à la politique de l'organisation. Registre de destruction signé numériquement.

5. Audit : Chaque document traité enregistré avec horodatage, utilisateur, empreinte de contenu (pas en texte brut).

Sécurité de la chaîne d'approvisionnement (matériel)

Achat : Acheter un ordinateur standard (éviter les logiciels préinstallés, le micrologiciel propriétaire).

Durcissement BIOS : Désactiver le démarrage USB, le démarrage Ethernet, le sans-fil. Protéger le BIOS par mot de passe.

Durcissement du système d'exploitation : Installation minimale (Linux, pas d'interface graphique). Supprimer tous les pilotes réseau.

Mises à jour du micrologiciel : Appliquer les derniers correctifs du système d'exploitation avant tout travail classifié.

Inspection physique : Vérifier les scellés de sécurité du boîtier. Vérifier l'absence de dispositifs cachés (dispositifs d'écoute, enregistreurs de frappe USB).

Défaillances courantes

  • Connecter la machine isolée à internet « juste une fois » pour une mise à jour du système d'exploitation. Une fois connectée = compromise. Utiliser les correctifs manuels (USB).
  • Réutiliser la même USB pour plusieurs transferts sans l'effacer. Les anciennes données peuvent être récupérables.
  • Imprimer la sortie classifiée et laisser la copie papier sur le bureau. La copie papier doit être sous contrôle physique (tiroir verrouillé).

FAQ

Puis-je utiliser l'isolation pour le travail quotidien ou seulement pour les documents sensibles ?

Seulement pour les documents sensibles. L'isolation est lente (transferts USB manuels). À utiliser uniquement pour les projets haute sécurité.

Que faire si le serveur isolé cesse de fonctionner ?

Les données sont chiffrées sur USB. Utilisez une machine isolée de secours (même configuration). La clé privée permet le déchiffrement sur n'importe quel système isolé.

Puis-je connecter des périphériques (imprimante, moniteur) à la machine isolée ?

Imprimante : oui (USB uniquement, pas de réseau). Moniteur : oui (passif). Clavier/souris : risqué s'il est sans fil (peut être intercepté). Utilisez des câbles.

Comment tester que la machine isolée est véritablement hors ligne ?

Inspection physique : pas de câble Ethernet, pas d'antenne WiFi, BIOS indique le réseau désactivé. Comportement : `ping 8.8.8.8` = pas de réponse.

L'isolation est-elle excessive pour la conformité HIPAA en soins de santé ?

Non excessive pour les données génétiques ou dossiers psychiatriques. Excessive pour l'admission de patients standard. Utiliser VPN + chiffrement pour le travail courant.

Comment gérer l'inférence multi-fichiers (10 documents) ?

Mode batch : chiffrer les 10 docs, transférer via USB, traiter un par un sur machine isolée, chiffrer les résultats, retourner l'USB.

Sources

  • Documentation officielle GnuPG : chiffrement et gestion des clés
  • NIST SP 800-111 : Directives pour la gestion de la sécurité de l'information
  • Bonnes pratiques des systèmes isolés : NSA/CISA Cybersecurity Technical Reference Architecture

A Note on Third-Party Facts

This article references third-party AI models, benchmarks, prices, and licenses. The AI landscape changes rapidly. Benchmark scores, license terms, model names, and API prices can shift between the time of writing and the time you read this. Before making deployment or compliance decisions based on this article, verify current figures on each provider's official source: Hugging Face model cards for licenses and benchmarks, provider websites for API pricing, and EUR-Lex for current GDPR and EU AI Act text. This article reflects publicly available information as of May 2026.

Comparez votre LLM local avec 25+ modèles cloud simultanément avec PromptQuorum.

Rejoindre la liste d'attente PromptQuorum →

← Retour aux LLMs locaux

Flux de travail LLM sécurisé hors ligne: Configuration isolée, zéro réseau