Je n'en connais pas qui fournisse une vraie architecture d'hébergement sécurisée. Ce n'est pas parce que l'hébergeur a mis un coupe-feu qu'il peut se dire sécurisé. La sécurité, c'est, entre autres, un droit de regard sur les applications installées sur le serveur. Nul n'est à l'abri d'un dépassement de mémoire tampon ou d'un cookie mal calculé. Aujourd'hui, si l'on recherche une sécurité importante, le mieux est encore de s'héberger soi-même !

Il faut différencier la sécurité de la plate-forme hébergeant l'application et celle de l'application elle-même. Aujourd'hui, les hébergeurs se concentrent sur la première : ils filtrent le port d'entrée, et c'est tout. Le reste demeure du domaine de l'architecture réseau traditionnelle. Il est nécessaire d'aller au-delà du simple filtrage IP à bas niveau que tout le monde connaît. Par exemple, le filtrage HTTP est essentiel afin de contrôler les données passées au serveur web. Les attaques ciblent aujourd'hui les applications, et non plus la couche IP, bien filtrée le plus souvent. Hélas, la sécurité applicative est ignorée de la majorité des hébergeurs.

Avant tout, je chercherais à savoir s'il valide les codes sources des applications qui seront hébergées sur le serveur. Je demanderais ensuite si son architecture est réellement multitiers et étanche. Et enfin, j'exigerais qu'il accepte des audits de sécurité extérieurs réguliers.