🤔 Pourquoi auto-héberger ses services IA ?
Avant de plonger dans la technique, posons la question fondamentale : pourquoi se donner cette peine ?
Vie privée et souveraineté des données
Quand vous utilisez un service cloud classique, vos données transitent par des serveurs tiers. Vos prompts, vos fichiers, vos conversations — tout est potentiellement accessible au fournisseur.
Avec le self-hosting :
- Vos données restent sur VOTRE serveur
- Aucun tiers n'a accès à vos prompts ou résultats
- Conformité RGPD simplifiée (vous savez exactement où sont les données)
- Pas de revente de vos données pour entraîner des modèles
Contrôle total sur l'infrastructure
| Aspect | Cloud/SaaS | Self-hosted |
|---|---|---|
| Uptime | Dépend du fournisseur | Vous décidez |
| Mises à jour | Imposées | À votre rythme |
| Configuration | Limitée | Totale |
| Personnalisation | Selon l'offre | Infinie |
| Données | Chez eux | Chez vous |
Coûts maîtrisés
Un VPS à 5-15€/mois remplace facilement plusieurs abonnements SaaS qui coûteraient 50-100€/mois combinés. On détaille les coûts réels plus bas.
Apprentissage et compétences
Self-héberger, c'est aussi monter en compétence sur Linux, le réseau, la sécurité, le déploiement. Des skills qui valent de l'or sur le marché du travail.
🖥️ Choisir son VPS : les specs minimales
Tous les VPS ne se valent pas. Voici ce qu'il faut pour faire tourner confortablement un setup IA.
Spécifications minimales recommandées
| Composant | Minimum | Recommandé | Pourquoi |
|---|---|---|---|
| vCPU | 2 cores | 4 cores | Les appels API et le traitement parallèle demandent du CPU |
| RAM | 4 GB | 8 GB | Python + Node.js + base de données = gourmand |
| Stockage | 80 GB SSD | 160 GB NVMe | Les logs et données IA grossissent vite |
| Bande passante | 1 TB/mois | Illimitée | Les appels API consomment de la bande passante |
| OS | Ubuntu 22.04+ | Ubuntu 24.04 LTS | Support long terme, communauté massive |
Quel fournisseur choisir ?
Après avoir testé plusieurs hébergeurs, voici notre recommandation :
Hostinger VPS est notre choix #1 pour le rapport qualité/prix. Avec 20% de remise via notre lien, vous obtenez un VPS performant pour le prix d'un café par mois.
| Fournisseur | Prix/mois | vCPU | RAM | Stockage | Notre avis |
|---|---|---|---|---|---|
| Hostinger 🏆 | ~5-10€ | 2-4 | 4-8 GB | 80-200 GB NVMe | Meilleur rapport qualité/prix, -20% avec notre lien |
| Hetzner | ~5-15€ | 2-4 | 4-8 GB | 40-160 GB | Excellent, datacenters EU |
| OVH | ~6-12€ | 2-4 | 4-8 GB | 80-160 GB | Français, bonne perf |
| DigitalOcean | ~12-24$ | 2-4 | 4-8 GB | 50-160 GB | Simple mais plus cher |
| Contabo | ~5-10€ | 4-6 | 8-16 GB | 200-400 GB | Specs généreuses, support moyen |
💡 Conseil : commencez avec un plan à 2 vCPU / 4 GB RAM. Vous pourrez toujours upgrader plus tard. Avec Hostinger et les 20% de remise, ça revient à moins de 6€/mois.
🔧 Setup initial Ubuntu : les fondations
Vous avez votre VPS ? Parfait. Voici comment le configurer proprement dès le départ.
Étape 1 : Première connexion SSH
# Connexion avec le mot de passe root fourni par l'hébergeur
ssh root@VOTRE_IP_VPS
# Première chose : mettre à jour le système
apt update && apt upgrade -y
Étape 2 : Créer un utilisateur non-root
Ne travaillez JAMAIS en root au quotidien. C'est la règle numéro 1 de la sécurité serveur. Créez un utilisateur deploy, ajoutez-le au groupe sudo, puis copiez votre clé SSH publique dans son dossier .ssh en respectant les permissions strictes (700 pour le dossier, 600 pour authorized_keys).
Étape 3 : Sécuriser SSH
# Éditer la config SSH
nano /etc/ssh/sshd_config
Dans le fichier de configuration, modifiez les paramètres suivants : désactivez la connexion root (PermitRootLogin no), désactivez l'authentification par mot de passe (PasswordAuthentication no), changez le port par défaut (par exemple Port 2222), et limitez les utilisateurs autorisés (AllowUsers deploy). Redémarrez ensuite le service avec systemctl restart sshd.
⚠️ Important : avant de fermer votre session root, ouvrez un NOUVEAU terminal et testez la connexion avec l'utilisateur
deploy. Si ça ne marche pas, vous avez encore la session root pour corriger.
Étape 4 : Firewall UFW
UFW (Uncomplicated Firewall) est votre première ligne de défense. Configurez-le pour bloquer tout le trafic entrant par défaut, n'autoriser que les ports nécessaires (SSH sur votre port personnalisé, HTTP 80 et HTTPS 443), puis activez-le.
Étape 5 : Fail2ban contre le brute-force
Fail2ban surveille les logs et bannit les IP qui tentent des connexions répétées. Installez-le via apt, puis créez un fichier de configuration local (jail.local) pour définir un temps de ban prolongé (86400 secondes), un nombre maximum de 3 tentatives, et l'action ufw pour bloquer les offendeurs au niveau du firewall.
Étape 6 : Mises à jour automatiques
Les failles de sécurité n'attendent pas. Installez unattended-upgrades via apt et configurez-le avec dpkg-reconfigure. Dans le fichier /etc/apt/apt.conf.d/50unattended-upgrades, assurez-vous d'autoriser les mises à jour de sécurité et les mises à jour standard, puis activez le redémarrage automatique à une heure creuse (par exemple 04h00).
🏗️ Les services à héberger
Maintenant que le serveur est sécurisé, installons les services. Voici l'architecture cible : le trafic internet arrive sur un reverse proxy (Caddy ou Nginx) écoutant sur le port 443, qui gère le SSL et distribue les requêtes vers trois services locaux. OpenClaw (sur le port 3000) agit comme l'agent IA central, FastAPI (sur le port 8000) gère vos endpoints personnalisés, et une interface SQLite Web (sur le port 8080) permet d'explorer visuellement la base de données.
OpenClaw : votre agent IA central
OpenClaw est le cerveau de l'opération. C'est l'agent IA qui orchestre tout. Pour comprendre comment le connecter aux meilleurs modèles, consultez notre guide APIs IA : OpenRouter vs appels directs.
OpenClaw nécessite un environnement Node.js version 20 ou supérieur. L'installation s'effectue via le gestionnaire de paquets npm en ajoutant d'abord le dépôt officiel de NodeSource aux sources apt de votre système, puis en installant le paquet global openclaw. Une fois en place, l'outil est accessible en ligne de commande depuis n'importe quel dossier.
Pour isoler vos services dans des conteneurs et simplifier la gestion, consultez notre guide Docker + IA : conteneuriser ses services intelligents.
Pour la configuration complète, suivez notre guide Installer OpenClaw sur un VPS et Configurer OpenClaw.
FastAPI : votre API personnalisée
FastAPI est parfait pour créer des endpoints custom qui complètent votre setup IA.
Pour déployer FastAPI, commencez par installer Python 3.11 ainsi que l'utilitaire venv via apt. Créez ensuite un environnement virtuel dédié (par exemple dans /home/deploy/api-env) pour isoler les dépendances. Dans cet environnement, installez les paquets essentiels : FastAPI lui-même, le serveur ASGI uvicorn, python-dotenv pour la gestion des variables d'environnement, et httpx pour les requêtes HTTP asynchrones.
Créez ensuite votre service dans /home/deploy/api/main.py en initialisant une application FastAPI avec le middleware CORS restreint à votre domaine, un endpoint /health pour le monitoring, et vos endpoints métier personnalisés (comme /api/stats pour retourner des métriques).
Déclarez le service au système via un fichier unité systemd (/etc/systemd/system/fastapi.service) qui pointe vers l'exécutable uvicorn de votre venv, écoute sur 127.0.0.1:8000, et active le redémarrage automatique en cas de crash. Activez-le avec systemctl enable --now fastapi.
SQLite : votre base de données légère
SQLite est parfait pour le self-hosting : zéro config, zéro serveur de BDD, fichier unique.
# Installer les outils SQLite et créer le dossier de données
sudo apt install sqlite3 -y
mkdir -p /home/deploy/data
Initialisez votre base /home/deploy/data/app.db avec des tables adaptées à vos besoins, par exemple une table logs (id, timestamp, level, message, metadata) et une table cache (key, value, expires_at), en pensant à ajouter des index sur les colonnes fréquemment interrogées comme timestamp ou expires_at.
💡 Pourquoi SQLite plutôt que PostgreSQL ? Pour un setup perso/petit projet, SQLite gère facilement des millions de lignes, ne consomme quasi pas de RAM, et les backups se font en copiant un fichier. PostgreSQL devient pertinent quand vous avez besoin d'accès concurrent massif ou de fonctionnalités avancées (JSON avancé, full-text search poussé, etc.).
Reverse proxy : Caddy (recommandé) ou Nginx
Le reverse proxy est la porte d'entrée de votre serveur. Il gère le SSL, le routage et la sécurité.
Option A : Caddy (recommandé pour la simplicité)
Caddy gère automatiquement les certificats SSL via Let's Encrypt. Zéro config SSL. Son installation sur Ubuntu s'effectue simplement en ajoutant la clé GPG et le dépôt officiel Cloudsmith à vos sources apt, puis via un apt update && apt install caddy -y.
Dans le fichier /etc/caddy/Caddyfile, définissez votre domaine et les règles de routage : un bloc handle /api/claw/* redirigeant vers localhost:3000, un bloc handle /api/* vers localhost:8000, et un bloc handle par défaut servant les fichiers statiques depuis /home/deploy/www. Ajoutez des headers de sécurité (X-Content-Type-Options, X-Frame-Options, Referrer-Policy). Rechargez la configuration avec systemctl reload caddy.
Option B : Nginx
Installez Nginx et Certbot (sudo apt install nginx certbot python3-certbot-nginx -y). Dans /etc/nginx/sites-available/mondomaine.com, configurez un bloc server écoutant sur le port 80 avec des location proxyant vers vos services locaux (OpenClaw sur le port 3000, FastAPI sur le port 8000), en n'oubliant pas de forwarder les headers Host et X-Real-IP. Activez le site, obtenez le certificat SSL avec certbot --nginx -d mondomaine.com, puis rechargez Nginx.
💰 Coûts réels mensuels
Parlons argent. Combien coûte réellement ce setup en 2025 ?
| Poste | Coût mensuel | Notes |
|---|---|---|
| VPS Hostinger | 5-10€ | Avec 20% de remise via notre lien |
| Domaine | ~1€ | ~12€/an réparti |
| APIs IA (OpenRouter) | 2-15€ | Selon utilisation, modèles gratuits dispo |
| Backups externes | 0-2€ | S3-compatible ou rsync |
| Total | 8-28€/mois |
Comparaison avec les alternatives SaaS
| Service | SaaS | Self-hosted | Économie |
|---|---|---|---|
| Agent IA (ChatGPT Pro) | 20€/mois | 0€ (OpenClaw gratuit) | 20€/mois |
| API Gateway | 15-50€/mois | 0€ (Caddy gratuit) | 15-50€/mois |
| Base de données | 10-30€/mois | 0€ (SQLite gratuit) | 10-30€/mois |
| Monitoring | 10-25€/mois | 0€ (scripts custom) | 10-25€/mois |
| Total | 55-125€/mois | 8-28€/mois | 47-97€/mois |
💡 Sur un an, le self-hosting peut vous faire économiser 500 à 1 100€. L'investissement en temps (quelques heures de setup) est largement rentabilisé.
📋 Checklist de déploiement
Avant de considérer votre setup comme "production-ready", vérifiez chaque point :
✅ Utilisateur non-root créé
✅ SSH par clé uniquement (mot de passe désactivé)
✅ Port SSH changé
✅ UFW activé (seuls 80, 443, SSH ouverts)
✅ Fail2ban configuré et actif
✅ Mises à jour automatiques activées
✅ Reverse proxy avec SSL (certificat valide)
✅ Services en systemd (redémarrage auto)
✅ Backups configurés (au minimum quotidiens)
✅ Monitoring basique en place
Script de backup automatique
Créez un script /home/deploy/scripts/backup.sh qui effectue une sauvegarde atomique de votre base SQLite via la commande .backup, compresse vos fichiers de configuration critiques (Caddyfile, variables d'environnement, jail.local) dans une archive tar.gz, et supprime automatiquement les fichiers de plus de 7 jours pour limiter l'espace disque utilisé. Planifiez son exécution quotidienne à 3h du matin via crontab -e.
🔒 Aller plus loin en sécurité
Ce guide couvre les bases, mais la sécurité est un processus continu. Pour approfondir :
- Monitoring avancé : installez Netdata ou Prometheus + Grafana pour surveiller les performances
- Alertes : configurez des notifications Telegram quand quelque chose tourne mal
- Audit : lancez
lynis audit systemrégulièrement pour détecter les faiblesses - Docker : isolez chaque service dans son conteneur pour limiter la surface d'attaque
Pour un guide complet sur la sécurisation, consultez notre article Sécuriser OpenClaw. Vous pouvez aussi exposer vos services de manière encore plus sécurisée grâce à Cloudflare Tunnel : exposer ses services sans ouvrir de ports.
🎯 L'essentiel
- Auto-héberger son IA sur un VPS coûte entre 8 et 28€/mois, soit une économie de 500 à 1 100€ par an par rapport au SaaS.
- Les piliers de la sécurité sont : utilisateur non-root, SSH par clé, UFW, fail2ban et mises à jour automatiques.
- Caddy est le reverse proxy recommandé pour sa gestion automatique du SSL via Let's Encrypt.
- SQLite suffit largement pour un usage personnel ou un petit projet, sans la complexité d'un serveur de base de données dédié.
- Tous vos services (OpenClaw, FastAPI) doivent être gérés par systemd pour garantir un redémarrage automatique en cas de crash.
🛠️ Outils recommandés
| Outil | Rôle | Pourquoi on le recommande |
|---|---|---|
| Hostinger | Hébergement VPS | Meilleur rapport qualité/prix en 2025 |
| OpenClaw | Agent IA | Orchestration centralisée, gratuit |
| Caddy | Reverse proxy | SSL automatique, configuration simple |
| FastAPI | API custom | Performant, typage Python, async natif |
| SQLite | Base de données | Zéro config, fichier unique, backups faciles |
| Fail2ban | Anti brute-force | Protection essentielle pour les serveurs exposés |
| UFW | Firewall | Interface simple pour iptables |
❌ Erreurs courantes
Travailler en root au quotidien : C'est la faille numéro 1. Un script malveillant exécuté en root a un accès total à votre serveur. Créez toujours un utilisateur dédié avec sudo.
Oublier de tester SSH avant de fermer la session root : Si vous changez le port SSH ou désactivez le mot de passe sans vérifier dans un second terminal, vous risquez de vous locker hors de votre propre serveur.
Ne pas configurer de backups : Un disque SSD finit par mourir. Sans sauvegarde automatisée de votre base SQLite et de vos configs, une panne matérielle = tout à refaire.
Laisser les ports inutiles ouverts : Si UFW n'est pas configuré, votre serveur expose des dizaines de ports aux bots. Seuls 80, 443 et votre port SSH doivent être accessibles depuis l'extérieur.
Ignorer les mises à jour de sécurité : En 2025, les failles critiques sont exploitées en quelques heures. Les unattended-upgrades ne sont pas optionnels, ils sont indispensables.
❓ FAQ
Est-ce que mon VPS est assez puissant pour faire tourner un LLM ?
Non, un VPS standard (2-4 vCPU, 4-8 GB RAM) ne peut pas exécuter de grands modèles localement. L'architecture décrite dans ce guide fait transiter les requêtes vers des APIs externes (comme OpenRouter) qui exécutent les modèles sur leurs GPU. Votre VPS sert de passerelle sécurisée et héberge la logique métier.
Pourquoi ne pas utiliser Docker dès le début ?
Docker ajoute une couche de complexité. Pour un premier setup, installer les services directement sur Ubuntu permet de comprendre chaque composant. Une fois à l'aise, la conteneurisation avec Docker est l'étape logique suivante (voir notre guide Docker + IA).
Que faire si mon IP est bannie par fail2ban ?
Connectez-vous via la console VPS de votre hébergeur (qui ne passe pas par SSH), puis débanez votre IP avec la commande sudo fail2ban-client set sshd unbanip VOTRE_IP.
Caddy ou Nginx, lequel choisir vraiment ?
Caddy si vous voulez du SSL automatique sans toucher à la configuration. Nginx si vous avez besoin de fonctionnalités avancées (rate limiting complexe, streaming spécifique, configuration très granulaire). Pour 90% des setups de self-hosting IA, Caddy est le bon choix.
Combien de temps prend ce setup complet ?
Comptez environ 30 à 45 minutes si vous suivez ce guide pas à pas sans blocage.
🎯 Résumé : votre setup en 30 minutes
- Commander un VPS sur Hostinger (profitez des 20% de remise)
- Sécuriser : utilisateur non-root, SSH par clé, UFW, fail2ban
- Installer : Node.js, Python, SQLite
- Déployer : OpenClaw, FastAPI, reverse proxy Caddy
- Automatiser : backups, mises à jour, monitoring
- Profiter : un setup complet pour 8-15€/mois
🏁 Conclusion
Le self-hosting n'est pas réservé aux experts. Avec ce guide, vous avez tout ce qu'il faut pour monter un serveur IA solide, sécurisé et économique. Et le meilleur ? Vous gardez le contrôle total sur vos données et vos outils. En 2025, avec des outils comme Caddy ou FastAPI qui simplifient énormément le déploiement, il n'a jamais été aussi rapide de prendre son indépendance vis-à-vis des géants du SaaS. Commencez petit, itérez, et upgradez votre infrastructure au fur et à mesure de vos besoins.
Pour aller plus loin avec votre nouvel environnement, découvrez Qu'est-ce qu'OpenClaw ?, suivez le guide Installer OpenClaw sur un VPS, personnalisez-le avec Configurer OpenClaw, ou apprenez à Sécuriser OpenClaw. Pour optimiser la connexion à vos modèles, lisez APIs IA : OpenRouter vs appels directs, et découvrez ce que vous pourrez accomplir avec Automatiser sa vie avec l'IA.
