Faut-il gérer soi-même son hébergement web?

Qu’est-ce qu’un hébergement web en quelques mots?

Histoire de s’assurer que nous soyons en phase sur le sujet, une clarification s’impose.

Quand on parle d’hébergement web, on parle du support physique qui va accueillir les données nécessaires au fonctionnement de votre site web (les différents fichiers, la base de données…), et va également être relié à cet incroyable réseau qu’on appelle Internet.

Les ordinateurs qui permettent ce genre de choses sont appelés des serveurs, et quand on parle d’hébergement web on parle donc d’un service qui permet d’utiliser tout ou partie d’un serveur afin de mettre en ligne son site web.

Disposer d’un hébergement web n’est pas une option, si vous souhaitez que votre contenu soit disponible en ligne.

Pourquoi se poser la question de faire sous-traiter l’hébergement de son site Internet ?

Tout simplement car il s’agit d’un tâche très complexe qui demande des compétences techniques poussées, en plus de disposer de l’infrastructure matérielle nécessaire, ce qui implique des coûts importants.

À moins d’être une entreprise avec un budget important qui peut se permettre d’auto-héberger sur place ses données, il est plus intéressant et logique de faire appel à un prestataire tiers spécialisé dans l’hébergement web.

Il est important de faire la distinction entre deux choses:

• le service de mise à disposition du serveur, ou d’une partie d’une serveur (selon qu’on choisit une offre d’hébergement dédié, en VPS ou mutualisée), c’est à dire la location du matériel (ou de son équivalent). On parle ici des entreprises qui détiennent les serveurs physiques et vont les louer contre rémunération.
• la gestion au quotidien dudit hébergement, tâche qui incombe à l’administrateur système.

Pourquoi ça semble important de garder la main dessus?

Garder le contrôle sur vos données en ligne

Pour voir accéder facilement aux données que vous publiez en ligne, c’est pouvoir facilement les modifier ou supprimer sans avoir de compte à rendre.

C’est aussi le moyen de vérifier concrètement ce qui est en ligne.

Pouvoir répondre aux demandes d’accès ou d’effacement des données selon le RGPD

Si vous avec une public situé en Europe, vous devez respecter le RGPD (Règlement Général sur la Protection des Données). L’un des droits primordiaux dont dispose l’utilisateur est celui du droit à l’effacement. Sur simple demande de sa part, vous êtes dans l’obligation légale de supprimer toute donnée le concernant de votre serveur.

Vous serez en particulier concerné⋅e si votre site propose des services en ligne comme de l’ecommerce, pour lequel des comptes membres sont généralement proposés.

Gérer plus rapidement votre site Internet

Éviter les intermédiaires, c’est aussi gagner en temps pour traiter une demande, à priori.

Si vous avez un accès direct à votre hébergement, vous pouvez théoriquement traiter vous même vos demandes et donc y répondre plus rapidement.

Pourquoi je ne donne pas un accès complet à mes clients

Après ce que vous venez de lire, vous devez penser que je suis soutiens complètement l’idée selon laquelle chacun⋅e devrait avoir un accès complet à son hébergement web.

Et bien non.

Pourtant, les arguments précédents sont très justes et je crois dur comme fer à l’importance de contrôler ses données et celles de ses utilisateur⋅trices.

Mais il y a d’autres points à considérer, qui sont importants, surtout dans le cas d’un site Internet professionnel pour lequel on ne peut se permettre de faire des erreurs.

S’assurer de la sécurité du serveur

Vous le savez sans doute, le plus gros du trafic Internet est constitué par des bots, qui passent leur temps à naviguer sur les sites, parfois avec de mauvaises intentions.

Pour éviter de leur ouvrir les portes de votre site Internet et de vous faire hacker, des mesures de sécurité doivent être mises en place.

Ces mesures s’implémentent sur le serveur, et non dans le CMS (WordPress par exemple).

Bref, à moins que vous ne soyez déjà formé⋅e au sujet, vous préférerez sans doute confier la sécurisation, le monitoring, et l’amélioration continue de la sécurité de votre site à un ou une professionnelle.

99,9% du temps, les gens qui font appel à une agence web ne sont pas eux-même des experts en sécurité informatique, ce qui est assez logique. Leur donner un accès complet au serveur sur lequel sont stockées leurs données, c’est au mieux leur donner un accès qu’ils n’utiliseront jamais – car ils ne savent pas trop quoi en faire ou ont peur de casser quelque chose, et au pire créer des failles de sécurité pour deux raisons:

1. la plupart des gens ne sont pas formés à la sécurité informatique, et risquent de stocker leurs mots de passe en clair quelque part, ou dans un coffre qui sera facilement accessible en cas de vol de leur appareil. Fournir à un client qui n’en a pas besoin le code d’accès au serveur de son site Internet, c’est risquer que celui-ci ne fuite et ne tombe en de mauvaises mains.
2. en voulant bien faire, un client va peut-être compromettre la sécurité de son site, après avoir visionné un tutoriel douteux sur Youtube, ou avoir entendu des conseils à droite à gauche. Si vous ne savez pas trop ce que vous faites, le mieux est de ne pas le faire, surtout s’il s’agit d’un site Internet en production et professionnel (pour votre blog perso, c’est une autre histoire).

Garder le serveur fonctionnel et à jour

“Oh tiens, on peut changer la version PHP du serveur, allez on y va”.

Voilà peut-être ce que se dirait un client en se promenant sur le serveur de son site e-commerce. Le problème c’est que jouer à l’aveugle avec les réglages du serveur d’un site en production, c’est risquer de casser son site sans même s’en rendre compte.

Un serveur a besoin d’être mis à jour, et d’être bien configuré pour le fonctionnement de votre site, avec des réglages qui pourront dépendre d’un site à l’autre.

De nouveau, mettre la main là-dedans sans connaissance préalable, c’est risquer de créer des failles ou tout simplement de casser certaines fonctionnalités.

La mise à jour de votre serveur fait partie de la maintenance de votre site Internet, si vous avez quelqu’un qui s’en occupe, vous n’avez pas à vous en soucier.

Pour 99% des besoins réels d’un client, l’accès au serveur n’est pas requis

Je pense que les deux points précédents sont assez clairs et ne feront pas débat.

Mais vous vous vous dîtes sans doute que c’est cher payé de gagner en sécurité et bon fonctionnement en échange de l’accès à ses données.

Et vous auriez raison.

Le client doit pouvoir contrôler ce qui se trouve sur son site Internet, pour toutes les raisons évoquées plus haut.

Et c’est pour ça qu’on inventé les CMS (Content Management System = système de gestion de contenu).

Au travers d’une interface graphique, vous pouvez gérer ce qui se trouve sur votre site Internet.

Pas besoin d’accéder au serveur pour ça, il vous suffit de vous connecter sur le site, comme vous le faîtes au quotidien sur tout un tas de sites web.

Dans le cas de WordPress, un compte Éditeur / Éditrice permet au client de faire tout ce dont il a besoin au quotidien:

• produire, modifier, supprimer du contenu de son site
• répondre aux demandes d’accès, de suppression des données de ses clients et clientes
• gérer son activité ecommerce (avec un rôle de Gérant Ecommerce)
• etc

Pas besoin non plus de disposer d’un compte Administrateur ou Administratrice dans WordPress, ce dernier rôle étant trop puissant et posant les mêmes risques en terme de sécurité et fonctionnement pour le site Internet que dans le cas d’un accès complet au serveur.

Pour les demandes spécifiques, il est aussi possible de modifier, ajouter, supprimer les droits et accès octroyés à un compte WordPress.

Par exemple, vous pouvez obtenir un accès aux sauvegardes régulières de votre site Internet afin de les télécharger sur votre ordinateur, si vous souhaitez avoir une copie pour vous-même.

Et si mon prestataire se fait renverser par un bus ?

Le titre peut faire sourire (sauf le prestataire, moi en occurrence), mais elle est vraiment justifiée.

En effet, si vous ne disposez pas d’un compte Admin ni d’un accès au serveur de votre site Internet, que faîtes-vous le jour où votre agence web disparaît (sous un très gros bus) ?

Mettons de côte les considérations légales, qui peuvent prendre du temps à aboutir en cas de litige.

Si vous avez besoin rapidement de récupérer le contrôle de votre site Internet pour le migrer ailleurs ou changer de prestataire, comment s’y prendre ?

Faire le bon choix d’hébergement en amont

Déjà, assurez-vous lorsque vous confiez la gestion de votre site Internet à un prestataire que le service ne vous rend pas dépendant de ce dernier.

C’est assez classique malheureusement. On confie son site Internet à quelqu’un qui nous fait une offre alléchante, et le jour où on veut partir, on découvre qu’on n’est plus vraiment propriétaire de son site, ni de ses données.

Vérifiez bien que ce n’est pas le cas, et posez directement la question “Si je décide d’arrêter de vous confier la gestion de mon site, comment ça se passe ?”

De mon côté, je mets un point d’honneur à ne pas enfermer mes clients et leur laisse la liberté de partir en récupérant la copie intégrale de leur site Internet pour facilement partir ailleurs s’ils le décident un jour. Mes clients gardent aussi la propriété de leur nom de domaine, auquel je n’ai pas accès (aux DNS oui par contre bien évidemment).

Éviter le SPOF

Le SPOF (Single Point Of Failure), qu’on peut traduire par “point de défaillance unique” dans la langue de Molière, désigne un élément particulier qui peut entraîner la panne complète d’un système en cas de défaillance.

Quand on passe par un prestataire web qui travaille seul, comme un freelance, c’est un risque à considérer.

Étant dans cette situation moi-même, j’ai déjà réfléchi au sujet.

Ma solution en cas d’incapacité à répondre aux demandes

J’aurais probablement d’autres préoccupations à gérer si un bus venait à me rouler dessus, c’est pour ça que j’ai mis en place une solution pour permettre à mes clients de facilement et rapidement regagner un contrôle complet sur leur site Internet en cas de panne complète de moi-même.

Concrètement, le serveur qui héberge les sites de mes clients est géré par un administrateur système externe, dont c’est le métier, pour pallier à la composante sécurité et performance.

En plus de ça, un tiers de confiance peut accéder dans ce genre de situation au serveur des sites de mes clients, afin de leur transmettre une copie intégrale de leur site Internet, si demandé.

J’évite donc le SPOF en n’étant pas le seul à avoir l’accès aux données de mes clients.

Pour les demandes plus exigeantes, il est aussi possible de permettre au client de directement regagner tous ses accès sur simple demande par email, avec un délai configurable.

Concrètement, je peux mettre ça en place grâce au coffre fort sécurisé Vaultwarden (dont j’offre un accès Premium à vie à tous mes clients). Une demande par email du client qui ne reçoit pas de refus après un délai choisi à l’avance, lui ouvrira l’accès au coffre.

Pratique si mon administrateur système, mon contact de confiance et moi-même nous faisons écraser en même temps par un bus, ou que votre agence web se fait pulvériser par un astéroïde qui aurait échappé à la vigilance de la NASA.

Les cas où garder un accès à votre hébergement a du sens

Pour conclure ce billet, je souhaiterais nuancer un peu mes propos.

Beaucoup de prestataires fournissent à leurs clients des accès au serveur web, ainsi que des comptes de niveau Administrateur / Administratrice.

J’ai déjà donné mon point de vue là-dessus, et les raisons pour lesquelles je ne procède plus de la sort depuis des années, avec de très bon retours clients.

Mais il y a des situations pour lesquelles ça a du sens de gérer vous-même votre hébergement web.

• pour un site non / peu professionnel: si ce n’est pas la fin du monde si votre site tombe en panne ou rencontre des problèmes techniques, vous pouvez vous permettre de prendre le risque de le gérer complètement par vous-même
• si vous avez envie de mettre la main dans la cambouis: toujours dans le cas d’un site perso ou pour une petite entreprise, si vous avez envie de gagner en autonomie et avez du temps à dédier à ça, alors gérer vous-même votre hébergement web peut être très formateur
• si vous manquez de budget: il s’agit plus d’un manque de capacité que d’un choix réel, mais bien évidemment, si vous ne pouvez pas confier la gestion de votre site à un tiers, alors vous devrez le faire vous-même

Ces trois situations ont en commun qu’on parle de projets web non professionnels.

Je suis le premier à inciter le grand public à s’intéresser aux solutions d’auto-hébergement et de gestion de leurs données. Mais dans le cas d’une activité professionnelle, à partir du moment où elle tourne, je considère qu’il est important de garder un budget pour confier la partie web à un tiers dont c’est le métier.

Car croyez-moi, en cas de problème, de piratage, ou de fuite de données, vous vous sentirez vraiment bête d’avoir voulu économiser quelques euros et jouer à l’expert⋅e informatique.