Nil (./1601) :
Après, moi, ce qui m'inquiète plus, justement, c'est la mise à jour des services ouverts à l'extérieur (même si c'est juste sur un réseau local, il suffit d'un cheval de troie et d'une faille dans la boite...). Mais ça, ce serait la même chose avec un environnement Java.

Tu auras bien plus de failles avec du PHP fait main que dans d'autres langages avec les framework adaptés.
Si tu utilises RoR ou Django (ou n'importe quel framework digne de ce nom, je cite ceux que je connais), et à moins de le vouloir très fortement, tu élimines les failles CSRF, les injections SQL, les sessions sont correctes, les mots de passe sont stockés convenablement, le code de l'appli n'est pas accessible (même avec une configuration incorrecte), etc.
Avec PHP de base (et je ne suis pas sûr que ça change beaucoup avec certains framework), tu as par défaut plein de failles possibles qu'il faut connaître pour les boucher. Avec ces framework, il faut les connaître pour les ouvrir. Ça change quand même beaucoup.