Hôtel 4 étoiles, 120 clés, Côte d'Azur, mars 2026.
À 3h47 du matin, l'EDR HarfangLab détecte un processus PowerShell anormal sur le serveur PMS Opera Cloud. La signature comportementale correspond à la kill-chain du ransomware Akira, connu pour cibler l'hôtellerie européenne depuis 2024.
En moins de 60 secondes, le serveur est isolé automatiquement du réseau. À 3h49, l'astreinte SOC est déclenchée. À 4h12, l'analyste français appelle le directeur des systèmes d'information. Le contrôleur de domaine Windows est également isolé par précaution. Les 118 chambres restaurent normalement leur check-out à 11h le matin même sans que le service ait été impacté.
Groupe régional 5 hôtels, Grand Est, janvier 2026.
Le directeur général reçoit un mail apparemment envoyé par un chargé de compte Booking.com, avec en pièce jointe un « avenant tarifaire urgent à signer avant 18h ». La pièce jointe est un fichier `.htm` qui redirige vers une page factice de connexion Booking. L'attaquant cherche à récupérer les identifiants extranet Booking pour siphonner les commissions et modifier les tarifs.
Ayant participé à la campagne de sensibilisation SmartHotel SOC trois semaines plus tôt, le directeur reconnaît immédiatement les signes d'un phishing ciblé. Il utilise le bouton « Signaler ce mail » installé sur son Outlook. En parallèle, l'EASM Panop avait déjà remonté 48h avant le typosquat `booking-partneraccount.com` utilisé dans l'attaque, permettant à l'analyste SOC de bloquer préventivement ce domaine sur le firewall de l'ensemble du groupe.
Palace 5 étoiles, Paris, novembre 2025.
L'agent EDR sur le poste POS du bar (Simphony Oracle) détecte l'écriture d'un script inhabituel dans le répertoire de l'application caisse. Le SIEM Sekoia corrèle en parallèle une connexion sortante récurrente vers un CDN suspect hébergé en Amérique du Sud, non listé dans le référentiel d'IOC hôtelier.
L'analyste SOC français confirme la présence d'un skimmer JavaScript de la famille Magecart, injecté via une mise à jour compromise du plugin de pourboires. En 3 heures, le poste est nettoyé, l'ensemble des POS du palace est audité, une mise à jour maîtrisée est déployée. Aucune carte de client n'a pu être exfiltrée, la fenêtre d'attaque ayant été refermée avant la première transaction interceptée.
Découvrez la Business Plateform pour accéder aux battlecards, à la grille tarifaire complète et aux devis exemples.