Bonjour,
L'entreprise qui vous a donné ce conseil n'a même pas pris la peine d'étudier ce qu'il y a dans ces fichiers et vous a balancé un conseil général à 2 balles, qui en l'occurence n'a même pas cette valeur.
Si ces fichiers peuvent être lus par un attaquant, cela signifie que votre serveur est déjà mal sécurisé et qu'il y a d'autres fichiers bien plus sensibles que ceux-ci, par exemple config.php, qui contient le mot de passe de la base de données !
Concernant votre question: votre plateforme ne peut pas fonctionner sans le fichier install.php. Les deux autres peuvent être supprimés sans problème, même si ça ne sert à rien.
Nicolas
PS. Je pense qu'il faut envisager de changer d'entreprise pour s'occuper des failles de votre plateforme.