# La chaîne d'approvisionnement de l'IA locale | OSFRIA

Supply chain de l'IA : modèles et paquets viennent de quelque part. Sources officielles et formats sûrs (safetensors) : les bons réflexes pour télécharger.

URL canonique : https://www.osfria.fr/risque-supply-chain.html

---

Cartographie · Risque

## La chaîne d'approvisionnement

Télécharger un modèle ou un paquet, c'est faire confiance à sa source. Quelques réflexes simples — sources officielles, formats sûrs — suffisent à profiter de l'IA locale l'esprit tranquille.

> Note informative, sans valeur de conseil. Une idée par note, reliée à ses voisines et aux outils concernés.

### De quoi parle-t-on

L'IA locale repose sur une « chaîne d'approvisionnement » : on télécharge des modèles, des bibliothèques, des paquets. Comme tout logiciel, ces éléments viennent de quelque part — et tout le monde n'est pas bien intentionné. Le cas le plus connu concerne d'anciens formats de fichiers de modèles (le format *pickle* de Python) qui peuvent, en théorie, exécuter du code à l'ouverture. Des fichiers piégés ont déjà été repérés sur de grandes plateformes de partage.

Ce n'est pas une raison de renoncer — c'est une raison de choisir ses sources. La communauté a d'ailleurs réagi : le format **safetensors** a été conçu précisément pour ne pas pouvoir exécuter de code, et il est devenu le standard recommandé.

### Les bons réflexes

Privilégier les **sources et dépôts officiels** des projets, préférer les formats sûrs (safetensors, ou le [GGUF](https://www.osfria.fr/concept-quantification.html) via des moteurs de confiance), se méfier des fichiers d'origine douteuse, et tenir ses outils à jour. C'est le prolongement direct de la [sécurité de l'IA locale](https://www.osfria.fr/securite-ia-locale.html) et un cousin du [risque d'exécution de code](https://www.osfria.fr/risque-execution-code.html). Pour OSFRIA, c'est aussi pourquoi on rappelle toujours : *vérifier la licence et la provenance projet par projet*.

### À relier

- [Sécurité de l'IA locale](https://www.osfria.fr/securite-ia-locale.html) — les bons réflexes d'ensemble.
- [L'exécution de code](https://www.osfria.fr/risque-execution-code.html) — le risque cousin, côté outils.
- [Les failles de sécurité](https://www.osfria.fr/risque-failles-securite.html) — garder ses outils à jour.
- [Open weights](https://www.osfria.fr/concept-open-weights.html) — connaître l'origine de ce qu'on installe.
