Trois failles cPanel et WHM viennent d’être corrigées. Le vrai sujet n’est pas le correctif, mais tout ce que cette alerte révèle sur notre manière de piloter l’hébergement web.
cPanel et WHM ne sont pas des détails de plomberie numérique. Ce sont des consoles d’administration qui concentrent comptes, domaines, bases, courriels, certificats, accès et parfois bouts de chaîne applicative. Quand une vulnérabilité peut mener à une élévation de privilèges, à une exécution de code ou à un déni de service, on ne parle pas seulement d’un serveur qui tousse. On parle d’un point de contrôle qui peut devenir un point de rupture.
La contradiction est connue. Beaucoup d’entreprises considèrent leur site web comme un actif stratégique quand il vend, recrute ou rassure les clients, mais comme un sujet secondaire quand il faut financer la maintenance, tester les sauvegardes ou relire le contrat d’hébergement. Le site est critique le lundi matin à 9 h, mais son socle technique reste souvent gouverné comme une dépense de bureau. Franchement, la cybersécurité en option premium, c’est pratique. Jusqu’au jour où l’option s’appelle reprise d’activité.
Le piège vient aussi de la délégation. Confier l’hébergement à un prestataire ne transfère pas la responsabilité de continuité. Cela transfère une partie de l’exécution. La nuance est coûteuse quand elle est découverte pendant l’incident. Qui applique les correctifs cPanel et sous quel délai ? Qui valide qu’ils sont passés ? Qui surveille les annonces de sécurité ? Qui dispose d’une sauvegarde exploitable, hors du même environnement, avec un test de restauration récent ? Ces questions ont l’air administratives. Elles sont en réalité opérationnelles, financières et juridiques.
L’incendie d’OVHcloud à Strasbourg en 2021 l’a rappelé brutalement, même si le cas n’était pas une cyberattaque. Des entreprises ont découvert que leurs sauvegardes étaient au même endroit que leur production, ou que la restauration n’avait jamais été testée sérieusement. Leçon simple, souvent oubliée : une sauvegarde non restaurée n’est pas une sauvegarde, c’est une croyance. Et les croyances tiennent mal face à un serveur indisponible, un client mécontent ou une campagne commerciale bloquée.
Il y a dans cette histoire quelque chose de très ancien. Vauban ne construisait pas seulement des murs, il pensait les accès, les angles morts, les approvisionnements et la durée du siège. La sécurité n’était pas un objet, mais une organisation. Nos hébergements modernes obéissent à la même logique. Un panneau d’administration exposé, des mises à jour incertaines, un contrat flou et des sauvegardes jamais éprouvées composent une forteresse assez élégante, mais avec la porte de service ouverte.
La bonne gouvernance n’exige pas de transformer chaque dirigeant en administrateur système. Elle exige de poser les bonnes obligations : inventaire des hébergements, responsabilités écrites, délais de correction, preuves de mise à jour, sauvegardes isolées, tests réguliers, clauses d’incident et scénario de bascule. Ce n’est pas très spectaculaire. C’est précisément pour cela que cela fonctionne.
Les failles cPanel seront corrigées chez les organisations attentives. Les autres attendront la prochaine alerte, avec l’étonnement sincère de ceux qui découvrent qu’un site web repose aussi sur des fondations.