Il a pas tord, suffit de regarder sur secunia/securityfocus/cert ou ce que vous voulez. De toute façon les failles sont de plus en plus sur les applications qui utilisent le serveur web de nos jours (failles xss and co plus que des failles sur le serveur web lui-même). Après concernant l'OS sous jacent si c'est juste un serveur web et qu'on ouvre que le port 80 alors ça limite déjà bien les attaques qu'on peut trouver sur les autres protocoles.
 
Après pour la question initiale ça dépend toujours de ce que tu veux faire tourner dessus. Si c'est pour mettre de l'ASP.Net alors IIS sans hésiter, si c'est pour faire du RoR, Python, PHP ou pour coupler avec un tomcat perso je mettrai du Apache (sous linux ou windows ça dépend aussi de l'infrastructure à côté, des outils de management/supervision/sauvegarde déployé). Pour PHP j'ai vu que IIS7 améliorait grandement son fonctionnement donc ça mérite peut être qq études.