Hébergement web : qui est responsable de la sécurité de votre serveur ?
« J'ai un serveur chez OVH, c'est sûr qu'il est protégé, non ? » Cette croyance répandue peut coûter cher aux entreprises. La réalité est plus nuancée : votre hébergeur protège l'infrastructure, mais vous restez responsable de la sécurité de votre système d'exploitation et de vos applications.
Le malentendu courant
Beaucoup pensent qu'en louant un serveur chez un hébergeur réputé comme OVH, Online, AWS ou Google Cloud, la sécurité est entièrement gérée. En réalité, la responsabilité est partagée selon un modèle bien défini.
Le modèle de responsabilité partagée
Hébergement Mutualisé
Ce que l'hébergeur fait : - Sécurisation du système d'exploitation - Mises à jour du serveur - Surveillance de l'infrastructure - Protection réseau
Ce que VOUS devez faire : - Sécuriser vos sites web (CMS, applications) - Mettre à jour vos logiciels (WordPress, plugins) - Gérer les accès FTP/SFTP - Sauvegarder vos données
Serveur Dédié (OVH, Online, etc.)
Ce que l'hébergeur fait : - Maintenance physique du serveur - Connectivité réseau - Infrastructure datacenter - Garantie matérielle
Ce que VOUS devez faire : - Installation et sécurisation de l'OS - Mises à jour de sécurité système - Configuration du firewall - Sécurisation des services (SSH, HTTP, etc.) - Surveillance des logs - Sauvegardes complètes
Cloud (AWS, Google Cloud, Azure)
Ce que l'hébergeur fait : - Sécurité de l'infrastructure cloud - Isolation entre clients - Sécurité physique
Ce que VOUS devez faire : - Configuration des groupes de sécurité - Gestion des accès IAM - Chiffrement des données - Sécurisation des instances - Mises à jour des systèmes d'exploitation
Les risques d'une mauvaise compréhension
Cas concret : l'incendie OVH
L'incendie du datacenter OVH en 2021 a montré l'importance des sauvegardes. OVH a assuré la reconstruction de l'infrastructure, mais les clients devaient restaurer leurs données depuis leurs propres sauvegardes.
Exemples de problèmes courants
- Site WordPress piraté via un plugin obsolète → responsabilité client
- Serveur compromis par faille SSH → responsabilité client
- Données perdues sans sauvegarde → responsabilité client
Checklist de vos responsabilités
Pour tout type d'hébergement
- [ ] Sauvegardes régulières et testées
- [ ] Mises à jour des applications
- [ ] Surveillance de la sécurité
- [ ] Gestion des accès
Pour serveur dédié/cloud
- [ ] Mises à jour du système d'exploitation
- [ ] Configuration du firewall
- [ ] Sécurisation des services
- [ ] Monitoring des performances
- [ ] Journalisation et analyse des logs
Solutions pour déléguer la sécurité
Si vous n'avez pas les compétences en interne :
Managed Hosting
Certains hébergeurs proposent des formules « managées » où ils prennent en charge : - Mises à jour de sécurité - Surveillance 24/7 - Sauvegardes managées - Support avancé
Prestataires spécialisés
Faire appel à un expert en sécurité informatique pour : - Auditer votre serveur - Mettre en place une sécurité renforcée - Assurer une surveillance continue
Conclusion
Ne tombez pas dans le piège : votre hébergeur protège son infrastructure, mais la sécurité de votre système d'exploitation, de vos sites web et de vos données vous incombe. Que vous soyez chez OVH, AWS ou tout autre hébergeur, investissez dans la sécurisation de votre environnement ou confiez cette tâche à des professionnels.
La sécurité est un processus continu, pas une simple case à cocher lors de la location d'un serveur.
