J'ai retrouvé le script que j'avais écrit il y a quelques années, le voici pour ceux que ça intéresse :

#/usr/bin/env bash
RECOVERY_KEY="111111-222222-333333-444444-555555-666666-777777-888888"
MOUNT_POINT="/dev/sda2"

create_dir() {
    if [ ! -d "$1" ]; then
        mkdir -p $1
    fi
}

create_encrypted_mount_point() {
    dislocker -v -V ${MOUNT_POINT} --recovery-password="${RECOVERY_KEY}" -- /media/encrypted/
}

decrypt_encrypted_mount_point() {
    mount -t ntfs-3g -o uid=0,gid=0,noatime,umask=000,locale=en_US.utf8 /media/encrypted/dislocker-file /media/decrypted
    #mount -t ntfs-3g -o loop,ro -ouser,umask=0007 /media/encrypted/dislocker-file /media/decrypted
    #mount -t ntfs-3g -o uid=0,gid=0,noatime,umask=000,locale=en_US.utf /media/encrypted/dislocker-file /media/decrypted
}

create_dir "/media/encrypted/"
create_dir "/media/decrypted/"

create_encrypted_mount_point
decrypt_encrypted_mount_point

En substance, il fabrique deux points de montage, le premier est un accès aux données chiffrées et le second un accès aux données déchiffrées.

Il faut l'outil Dislocker en prérequis :

sudo apt install dislocker