Guide d'auto-hébergement d'un agent IA au Canada

Pourquoi auto-héberger un agent IA au Canada?

Les entreprises canadiennes font face à des considérations spécifiques lorsqu'elles adoptent l'automatisation IA. La résidence des données, les obligations de la LPRPDE et la confidentialité des clients signifient que l'envoi de chaque requête et document à une API basée aux États-Unis n'est peut-être pas le bon choix par défaut. L'auto-hébergement vous donne le contrôle sur l'emplacement de vos données, qui peut y accéder et comment les flux de travail des agents sont examinés.

Résidence des données

En vertu des lois canadiennes sur la protection des renseignements personnels, les organisations sont responsables des renseignements personnels, peu importe où ils sont traités. Pour de nombreux secteurs réglementés (juridique, santé, services financiers), conserver les données en sol canadien simplifie la conformité, la vérification et l'assurance client. L'auto-hébergement dans un centre de données canadien signifie que les requêtes, les documents et la mémoire de l'agent restent sous juridiction canadienne.

Responsabilité en vertu de la LPRPDE

Le principe de responsabilité de la LPRPDE (principe 1) signifie que votre organisation demeure responsable des renseignements personnels même lorsque vous utilisez des services tiers. Lorsque vous auto-hébergez, vous contrôlez l'infrastructure, les journaux d'accès et la politique de conservation — ce qui facilite la démonstration de la conformité. Pour plus de détails, consultez notre guide sur la LPRPDE et l'automatisation IA.

Confidentialité et contrôle

L'auto-hébergement signifie que vos flux de travail d'agent, configurations d'outils, mémoire et gestion des secrets s'exécutent tous sur une infrastructure que vous possédez ou louez directement. Vous décidez comment les journaux sont stockés, combien de temps les données sont conservées et quels fournisseurs de modèles (le cas échéant) reçoivent vos requêtes. C'est particulièrement important pour les entreprises qui traitent des documents clients, des dossiers financiers ou des informations de processus exclusives.

Prévisibilité des coûts

L'hébergement VPS a un coût mensuel fixe. Si votre équipe exécute de nombreux flux de travail d'agent — rapports quotidiens, recherches récurrentes, brouillons de suivi client — les coûts d'API gérés peuvent croître de manière imprévisible. Une configuration auto-hébergée avec une facture VPS fixe plus une utilisation optionnelle d'API de modèle vous donne un plafond prévisible.

Contenu éducatif seulement, pas un avis juridique. Les obligations en matière de confidentialité, de LPRPDE, provinciales et sectorielles doivent être examinées avec un conseiller qualifié.

Options d'hébergement pour un agent IA auto-hébergé au Canada

Sur place

Exécuter l'agent sur du matériel que vous possédez — un Mac mini au bureau, une station de travail Linux ou un petit serveur dans une pièce verrouillée. Cela vous donne le plus de contrôle, mais nécessite de gérer vous-même l'alimentation, le réseau et la fiabilité du matériel. Idéal pour les équipes qui gèrent déjà des serveurs locaux et veulent une implication zéro d'infrastructure tierce.

• Aucune donnée ne quitte vos locaux physiques
• Aucune facture d'hébergement mensuelle au-delà de l'électricité et d'Internet
• Nécessite une disponibilité fiable — envisagez un onduleur et une connexion Internet de secours
• La maintenance du matériel est votre responsabilité

VPS dans un centre de données canadien

Un serveur privé virtuel (VPS) dans une région canadienne est le juste milieu pour la plupart des équipes. Vous obtenez une instance Linux dédiée dans un centre de données géré professionnellement, un accès root et un prix mensuel fixe. Trois options majeures avec des régions canadiennes :

De quelles spécifications avez-vous besoin?

Hermes Agent lui-même est léger — il orchestre les outils et appelle les modèles, mais n'exécute pas les modèles localement par défaut. Un VPS 2 vCPU / 4 Go RAM (environ 24 à 48 $/mois) gère confortablement l'orchestration d'agent, la mémoire persistante, les tâches cron et les flux de travail en arrière-plan pour une petite équipe. Si vous prévoyez d'exécuter des modèles locaux avec llama.cpp, prévoyez 8+ Go de RAM et un GPU si disponible.

Configuration de Hermes Agent sur un VPS

Cette section explique le déploiement de Hermes Agent sur un VPS Linux dans un centre de données canadien. Vous obtiendrez un agent fonctionnel avec mémoire persistante, planification cron et gestion sécurisée des secrets.

Option A : Installation directe (recommandée pour la simplicité)

Hermes Agent s'installe via pip dans un environnement virtuel Python. C'est le chemin le plus rapide vers un agent fonctionnel et le plus facile à déboguer.

Étape 1 : Provisionner votre VPS et le sécuriser

Après avoir créé votre VPS (choisissez Ubuntu 24.04 LTS dans votre région canadienne préférée), connectez-vous en SSH et effectuez un durcissement de base :

# Mettre à jour le système
sudo apt update && sudo apt upgrade -y

# Créer un utilisateur non-root pour l'agent
sudo adduser hermes
sudo usermod -aG sudo hermes

# Configurer le pare-feu — autoriser uniquement SSH et le port du tableau de bord de l'agent
sudo ufw allow OpenSSH
sudo ufw allow 9119/tcp comment 'Tableau de bord Hermes'
sudo ufw enable

# Installer les dépendances
sudo apt install -y python3 python3-pip python3-venv git curl

Étape 2 : Installer Hermes Agent

# Cloner et configurer en tant qu'utilisateur hermes
su - hermes
git clone https://github.com/nousresearch/hermes-agent.git ~/.hermes/hermes-agent
cd ~/.hermes/hermes-agent
python3 -m venv venv
source venv/bin/activate
pip install -e .

# Exécuter la configuration guidée
hermes setup

Étape 3 : Configurer les secrets de manière sécurisée

Ne codez jamais en dur les clés API dans les fichiers de configuration. Utilisez des variables d'environnement ou un gestionnaire de secrets :

# Créer un fichier .env avec des permissions restreintes
touch ~/.hermes/.env
chmod 600 ~/.hermes/.env
cat > ~/.hermes/.env << 'EOF'
OPENROUTER_API_KEY=sk-or-v1-...
# Ajouter d'autres clés de fournisseur au besoin
ANTHROPIC_API_KEY=sk-ant-...
OPENAI_API_KEY=sk-...
EOF

Pour les équipes utilisant des flux de travail respectueux de la confidentialité, envisagez d'utiliser la CLI 1Password pour injecter les secrets à l'exécution au lieu de les stocker dans un fichier .env :

# Installer 1Password CLI et se connecter
# Ensuite référencer les secrets dans votre config d'agent avec des références op://
hermes config set openrouter.api_key "op://coffre/element/champ"

Étape 4 : Vérifier l'installation

# Exécuter une vérification rapide de l'état
hermes status

# Démarrer la passerelle (en arrière-plan, avec redémarrage automatique)
hermes gateway start --port 9119

# Tester avec une requête simple
echo "Dire bonjour depuis le Canada" | hermes run

Option B : Docker (portable et isolé)

Si votre équipe standardise sur Docker, cette approche garde Hermes Agent isolé du système hôte et facilite le déplacement entre environnements.

# docker-compose.yml
version: '3.8'
services:
  hermes-agent:
    image: ghcr.io/nousresearch/hermes-agent:latest
    container_name: hermes-agent
    restart: unless-stopped
    ports:
      - "127.0.0.1:9119:9119"  # tableau de bord (localhost uniquement)
    volumes:
      - ./hermes-data:/home/hermes/.hermes  # config et mémoire persistants
      - ./skills:/home/hermes/.hermes/skills
    environment:
      - HERMES_CONFIG_PATH=/home/hermes/.hermes/config.yaml
      - OPENROUTER_API_KEY=${OPENROUTER_API_KEY}
      - ANTHROPIC_API_KEY=${ANTHROPIC_API_KEY}
    env_file:
      - .env  # secrets, gitignoré
    command: ["hermes", "gateway", "start", "--port", "9119"]

Stockez vos secrets dans un fichier .env (gitignoré) ou utilisez les secrets Docker pour la production. Ne committez jamais .env dans le contrôle de version.

Exécution en production : service systemd

Pour un agent de longue durée sur un VPS, un service systemd garantit que l'agent démarre au démarrage et redémarre en cas de panne. C'est la configuration de production recommandée pour les déploiements VPS Linux.

# /etc/systemd/system/hermes-agent.service
[Unit]
Description=Passerelle Hermes Agent
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
User=hermes
WorkingDirectory=/home/hermes
Environment="PATH=/home/hermes/.hermes/hermes-agent/venv/bin:/usr/local/bin:/usr/bin:/bin"
EnvironmentFile=/home/hermes/.hermes/.env
ExecStart=/home/hermes/.hermes/hermes-agent/venv/bin/hermes gateway start --port 9119
Restart=on-failure
RestartSec=10
StandardOutput=journal
StandardError=journal
SyslogIdentifier=hermes-agent

# Durcissement de la sécurité
NoNewPrivileges=yes
PrivateTmp=yes
ProtectSystem=strict
ProtectHome=read-only
ReadWritePaths=/home/hermes/.hermes
ReadOnlyPaths=/home/hermes/.hermes/hermes-agent

[Install]
WantedBy=multi-user.target

Activer et démarrer le service :

sudo systemctl daemon-reload
sudo systemctl enable hermes-agent
sudo systemctl start hermes-agent
sudo systemctl status hermes-agent   # vérifier qu'il fonctionne

# Voir les journaux
sudo journalctl -u hermes-agent -f

TLS avec un proxy inverse

Si vous avez besoin que le tableau de bord soit accessible au-delà de localhost (par exemple, pour la surveillance à distance), placez un proxy inverse Nginx avec Let's Encrypt devant :

# Installer certbot et nginx
sudo apt install -y nginx certbot python3-certbot-nginx

# Créer la config nginx pour le sous-domaine du tableau de bord
sudo tee /etc/nginx/sites-available/hermes-dashboard << 'EOF'
server {
    listen 443 ssl;
    server_name agent-dash.votredomaine.ca;

    ssl_certificate     /etc/letsencrypt/live/agent-dash.votredomaine.ca/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/agent-dash.votredomaine.ca/privkey.pem;

    location / {
        proxy_pass http://127.0.0.1:9119;
        proxy_http_version 1.1;
        proxy_set_header Upgrade \$http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host \$host;
        proxy_set_header X-Real-IP \$remote_addr;
        proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto \$scheme;
    }
}
EOF

sudo ln -s /etc/nginx/sites-available/hermes-dashboard /etc/nginx/sites-enabled/
sudo nginx -t && sudo systemctl reload nginx
sudo certbot --nginx -d agent-dash.votredomaine.ca

Meilleures pratiques de sécurité pour les agents IA auto-hébergés

Gestion des secrets

Votre agent a besoin de clés API pour les fournisseurs de modèles (OpenRouter, Anthropic, OpenAI) et potentiellement des jetons OAuth pour les intégrations (Google Workspace, GitHub). Ce sont des secrets de grande valeur — traitez-les comme des mots de passe de base de données.

• Ne codez jamais en dur les secrets dans les fichiers de configuration ou le contrôle de version
• Fichiers .env : gardez-les hors du dépôt, chmod 600, et ajoutez-les à .gitignore
• CLI 1Password : utilisez les références op:// pour que les secrets ne touchent jamais le disque en texte clair
• Trousseau macOS : sur Mac, stockez les phrases secrètes de chiffrement dans le Trousseau et référencez-les depuis les scripts
• Secrets Docker : dans Swarm ou Compose avec support des secrets, utilisez les montages /run/secrets/
• Variables d'environnement : passez les secrets au démarrage du processus — ils sont en mémoire, pas sur le disque

Règles de pare-feu

Votre pare-feu VPS doit suivre le principe du moindre privilège :

• SSH (port 22) : autoriser uniquement depuis l'IP de votre bureau ou une plage VPN
• Tableau de bord (port 9119) : lier à 127.0.0.1 uniquement, sauf derrière un proxy inverse avec TLS et authentification
• Tous les autres ports entrants : refuser par défaut
• Sortant : autoriser vers Internet pour les appels API de modèle, mais journaliser pour audit

Permissions de l'agent

Hermes Agent utilise un système d'outils et d'ensembles d'outils pour contrôler ce que l'agent peut faire. Lors du déploiement en production :

• Exécutez l'agent en tant qu'utilisateur dédié hermes, pas root
• Restreignez l'accès au système de fichiers au répertoire de travail de l'agent
• Utilisez enabled_toolsets dans les tâches cron pour limiter les outils auxquels chaque flux de travail automatisé peut accéder
• Examinez périodiquement la mémoire de l'agent — elle persiste entre les sessions et peut contenir des résumés sensibles
• Envisagez de chiffrer le magasin de mémoire persistante au repos

Pour une analyse plus approfondie, consultez notre guide sur les flux de travail IA respectueux de la confidentialité pour les PME canadiennes.

Agent auto-hébergé vs API gérée : compromis

Où vont réellement vos données?

Même avec un agent auto-hébergé, lorsque vous utilisez un fournisseur de modèle comme OpenRouter ou Anthropic, vos requêtes et les réponses du modèle sont traitées sur leurs serveurs. L'auto-hébergement de l'agent garde votre logique de flux de travail, vos configurations d'outils, votre mémoire et votre orchestration au Canada. Le fait que les requêtes quittent le Canada dépend du fournisseur de modèle que vous choisissez :

• OpenRouter : achemine vers divers fournisseurs (Anthropic, OpenAI, Google, Meta, etc.). Les politiques de traitement des données varient. La plupart des fournisseurs traitent les données aux États-Unis. L'infrastructure propre d'OpenRouter est basée aux États-Unis.
• API Anthropic (directe) : traitement basé aux États-Unis. Anthropic n'entraîne pas sur les données API par défaut, mais les données transitent par des serveurs américains.
• API OpenAI (directe) : traitement basé aux États-Unis. OpenAI offre un accord de traitement des données pour les clients API, mais les données sont traitées aux États-Unis.
• Modèle auto-hébergé (llama.cpp) : exécutez des modèles comme Llama, Mistral ou Qwen entièrement sur votre VPS. Aucune donnée ne quitte votre serveur. Cela nécessite plus de RAM (16+ Go pour les modèles 7B) et des ressources CPU/GPU, mais vous donne une souveraineté totale des données.

Pour les équipes canadiennes où la confidentialité des requêtes est critique, l'exécution d'un modèle local avec llama.cpp dans votre VPS canadien est l'option la plus solide. Consultez notre guide sur la résidence des données au Canada pour une analyse détaillée.

Latence

Les VPS dans les régions canadiennes (Toronto, Montréal) ont généralement une latence de 15 à 30 ms vers les principales API de modèles sur la côte est des États-Unis. Un agent auto-hébergé ajoute une surcharge négligeable — le goulot d'étranglement est presque toujours le temps d'inférence du modèle, pas l'orchestration de l'agent.

Maintenance

• Hebdomadaire : vérifier l'état du service systemd, examiner l'utilisation du disque
• Mensuelle : appliquer les correctifs de sécurité du système d'exploitation (sudo apt update && sudo apt upgrade)
• Trimestrielle : examiner la mémoire de l'agent, faire une rotation des clés API, examiner les résultats des tâches cron
• Par version Hermes : examiner le journal des modifications, tester la mise à niveau en préproduction avant d'appliquer en production

Liste de contrôle de conformité LPRPDE pour les agents IA auto-hébergés

Cette liste de contrôle est un point de départ pour les équipes canadiennes qui évaluent les déploiements d'agents auto-hébergés. Elle ne remplace pas un examen juridique, mais couvre les étapes pratiques qui s'alignent sur les dix principes de la LPRPDE.

Pour en savoir plus, lisez notre aperçu complet de la LPRPDE et de l'automatisation IA et le guide de conception de flux de travail respectueux de la confidentialité.

Considérations spécifiques au Canada

Lois provinciales sur la protection des renseignements personnels

En plus de la LPRPDE, plusieurs provinces ont des lois sur la protection des renseignements personnels substantiellement similaires qui s'appliquent aux organisations du secteur privé dans la province :

• Québec : la Loi 25 (en vigueur 2023-2024) ajoute la déclaration obligatoire des incidents, les évaluations des facteurs relatifs à la vie privée et des exigences de consentement plus strictes. Les organisations basées au Québec pourraient avoir besoin d'une EFVP avant de déployer une automatisation IA qui traite des renseignements personnels.
• Alberta : la PIPA régit la protection des renseignements personnels dans le secteur privé. Semblable à la LPRPDE avec certaines exigences supplémentaires de notification.
• Colombie-Britannique : la PIPA s'applique aux organisations du secteur privé en C.-B.
• Ontario : la LPRPS pour les dépositaires de renseignements sur la santé s'applique indépendamment de la LPRPDE pour les données de santé.

Flux de données transfrontaliers

Si vous auto-hébergez au Canada mais utilisez une API de modèle basée aux États-Unis (OpenRouter, Anthropic, OpenAI), les requêtes contenant des renseignements personnels traversent la frontière. En vertu de la LPRPDE, vous demeurez responsable. Évaluez si le fournisseur d'API de modèle offre des garanties adéquates. Pour les données sensibles, envisagez d'exécuter un modèle local sur votre VPS canadien afin que les requêtes ne quittent jamais le pays.

Réglementations sectorielles

Certains secteurs ont des exigences supplémentaires au-delà de la LPRPDE :

• Santé : les lois provinciales sur la protection des renseignements personnels en matière de santé (p. ex., la LPRPS de l'Ontario, la HIA de l'Alberta) peuvent restreindre l'endroit où les renseignements sur la santé peuvent être traités. Consultez les exigences provinciales avant d'utiliser un outil IA avec des données de santé.
• Services financiers : les lignes directrices du BSIF et les organismes de réglementation provinciaux peuvent imposer des exigences de résidence des données et d'externalisation. Examinez les directives de votre organisme de réglementation sur l'infonuagique et l'IA.
• Profession juridique : les règles des barreaux sur la confidentialité des clients et le secret professionnel peuvent restreindre l'utilisation d'outils IA tiers sans consentement du client et garanties adéquates.

Ceci est un aperçu éducatif, pas un avis juridique. Consultez un conseiller qualifié pour votre secteur, province et cas d'utilisation spécifiques avant de déployer une automatisation IA qui traite des données réglementées.

Foire aux questions

L'auto-hébergement signifie-t-il que mes requêtes ne quittent jamais le Canada?

L'auto-hébergement de l'agent garde votre configuration de flux de travail, vos orchestrations d'outils, votre mémoire et vos journaux au Canada. Si vous utilisez une API de modèle infonuagique (OpenRouter, Anthropic), les requêtes sont toujours traitées sur les serveurs de ce fournisseur — généralement aux États-Unis. Pour garder les requêtes au Canada, vous devez exécuter un modèle local (via llama.cpp ou similaire) sur votre VPS canadien. Consultez notre guide sur la résidence des données pour une vue d'ensemble complète.

Combien coûte une configuration auto-hébergée par mois?

Une configuration type pour une petite équipe : 25 à 50 $/mois pour un VPS 2 vCPU/4 Go dans un centre de données canadien, plus les coûts d'API de modèle (variables, généralement 10 à 100 $/mois selon l'utilisation). L'exécution d'un modèle local ajoute environ 48 à 96 $/mois pour un VPS avec suffisamment de RAM. Comparez cela aux services gérés ou à l'embauche d'un adjoint virtuel — l'auto-hébergement est souvent l'option la plus économique pour les équipes qui exécutent des flux de travail d'agent quotidiens.

Puis-je auto-héberger Hermes Agent sur un Mac mini à la maison?

Oui. Hermes Agent fonctionne sur macOS, et un Mac mini avec Apple Silicon est une excellente plateforme d'auto-hébergement — surtout si vous voulez exécuter des modèles locaux via llama.cpp. Les principaux compromis : votre Internet domestique doit être fiable, vous devez gérer les pannes de courant et vous pourriez avoir besoin d'une IP statique ou d'un DNS dynamique. Pour les flux de travail critiques, un VPS canadien avec une disponibilité professionnelle est généralement le choix le plus sûr.

Qu'arrive-t-il à mes données si le VPS tombe en panne?

Sauvegardez ~/.hermes/ régulièrement — il contient votre configuration, votre magasin de mémoire, vos compétences et vos journaux. Une simple tâche cron quotidienne qui archive et copie vers un emplacement hors serveur (un autre VPS, Google Drive ou un compartiment S3 dans une région canadienne) est suffisante. Les fournisseurs VPS offrent également des modules complémentaires d'instantané/sauvegarde pour le disque complet.

L'auto-hébergement est-il plus difficile que l'utilisation de l'API gérée?

Cela ajoute environ 30 à 60 minutes de configuration initiale et 30 minutes par mois pour la maintenance (correctifs, examen des journaux, vérification des sauvegardes). Si votre équipe valorise le contrôle des données et la confidentialité, c'est un petit investissement. Si vous n'avez aucun membre technique à l'aise avec Linux et SSH, une API gérée ou un service de déploiement préconfiguré peut être un meilleur point de départ.

Guides Hermes Agent connexes

• Qu'est-ce que Hermes Agent? — Commencez ici si vous débutez avec la plateforme
• Installer Hermes Agent sur macOS, Linux et WSL — Guide d'installation complet
• Résidence des données au Canada et agents IA — Analyse approfondie des exigences de résidence
• LPRPDE et automatisation IA pour les entreprises canadiennes — Aperçu de la LPRPDE
• Flux de travail IA respectueux de la confidentialité pour les PME canadiennes — Modèles de conception de flux de travail
• Agents IA personnalisés vs outils SaaS — Comparaison construire vs acheter
• Bases de l'automatisation IA canadienne — Débuter avec l'automatisation