Ouip, mais grub est crade et doit le refaire a chaque mise a jour kernel ou presque. Grub est con, c'est pas sa faute.
 
Pour l'UEFI le plus complexe a assimiler c'est :
Fast boot = désactivation du CSM = matériel compatible uniquement (c'est le seul point limitant en fait, donc dans ton cas se qui fesait reboot en boucle ça doit être la carte graphique pas compatible GOP) = on désactive dans le doute (y'a rien pour le grand publique qui permette de dire si la totalité de son matériel est "ok" ).
Secure Boot = compliqué a mettre en oeuvre, faut signer ses kernels avec une private key générée via un utilitaire sur la config, puis intégrer la key avec mokmanager. Ensuite tu peu booter par ton shim.efi (avec la séquence de boot qui devient shim.efi > grub signé (ou refind signé) > kernel signé) = on désactive si on maitrise pas (et jusqu'a présent y'a rien de brainless de mis en place pour le grand publique donc, techno intéressante mais chiante)
 
A partir de là, faut s'assurer de plusieurs points :
-on commence par partitionner son disque en GPT, avec ESP en fat32 en partition 1 (ça évite aux firmwares un peu pourris de s’emmêler)
-on installe refind et tout ses fichiers dans (partitionESP)/EFI/boot/
-on renome notre refind en "bootx64.efi"
-on laisse grub s'installer, il va aller detecter tout seul ou se mettre ((partitionESP)/EFI/debian ou autre) et surtout on lui dit de ne pas modifier les entrées dans la NVRAM
-Quoi qu'il arrive on touche plus a la NVRAM, de toute façon, refind est plus intéligent que n'importe quel bootloader/bootmanager existant.