Une offre Froggy Network, distribuée en France par XBHOST.
Cas d'usage

Trois histoires vraies. Trois attaques déjouées.

Ces scénarios sont inspirés de faits réels vécus par nos clients. Noms, dates et lieux anonymisés.

Cas 01, ransomware PMS

Un ransomware Akira stoppé net avant le check-in du matin.

Hôtel 4 étoiles, 120 clés, Côte d'Azur, mars 2026.

À 3h47 du matin, l'EDR HarfangLab détecte un processus PowerShell anormal sur le serveur PMS Opera Cloud. La signature comportementale correspond à la kill-chain du ransomware Akira, connu pour cibler l'hôtellerie européenne depuis 2024.

En moins de 60 secondes, le serveur est isolé automatiquement du réseau. À 3h49, l'astreinte SOC est déclenchée. À 4h12, l'analyste français appelle le directeur des systèmes d'information. Le contrôleur de domaine Windows est également isolé par précaution. Les 118 chambres restaurent normalement leur check-out à 11h le matin même sans que le service ait été impacté.

T + 0
Détection PowerShell suspect
T + 1 min
Isolation PMS Opera
T + 25 min
DSI notifié, forensic engagé
T + 8h
Reprise complète, aucune perte
Résultat
0 € de rançon, 0 clé impactée, 0 heure de service perdue
Sans SmartHotel SOC, la perte estimée aurait été supérieure à 480 000 € (rançon + réputation + interruption).
Ransomware PMS
Cas 02, phishing directeur

Un faux mail Booking.com déjoué grâce à la sensibilisation.

Groupe régional 5 hôtels, Grand Est, janvier 2026.

Le directeur général reçoit un mail apparemment envoyé par un chargé de compte Booking.com, avec en pièce jointe un « avenant tarifaire urgent à signer avant 18h ». La pièce jointe est un fichier `.htm` qui redirige vers une page factice de connexion Booking. L'attaquant cherche à récupérer les identifiants extranet Booking pour siphonner les commissions et modifier les tarifs.

Ayant participé à la campagne de sensibilisation SmartHotel SOC trois semaines plus tôt, le directeur reconnaît immédiatement les signes d'un phishing ciblé. Il utilise le bouton « Signaler ce mail » installé sur son Outlook. En parallèle, l'EASM Panop avait déjà remonté 48h avant le typosquat `booking-partneraccount.com` utilisé dans l'attaque, permettant à l'analyste SOC de bloquer préventivement ce domaine sur le firewall de l'ensemble du groupe.

J - 2
Typosquat détecté par Panop
J - 2
Blocage préventif firewall
J 0
Directeur reconnaît l'attaque
J 0
Alerte diffusée aux 5 hôtels
Résultat
0 identifiant compromis, 0 commission détournée
L'ANSSI estime le coût moyen d'une attaque BEC (Business Email Compromise) réussie à 45 000 € pour une PME.
Phishing directeur
Cas 03, compromission POS restaurant

Un skimmer JavaScript identifié en 3 heures sur le POS du bar.

Palace 5 étoiles, Paris, novembre 2025.

L'agent EDR sur le poste POS du bar (Simphony Oracle) détecte l'écriture d'un script inhabituel dans le répertoire de l'application caisse. Le SIEM Sekoia corrèle en parallèle une connexion sortante récurrente vers un CDN suspect hébergé en Amérique du Sud, non listé dans le référentiel d'IOC hôtelier.

L'analyste SOC français confirme la présence d'un skimmer JavaScript de la famille Magecart, injecté via une mise à jour compromise du plugin de pourboires. En 3 heures, le poste est nettoyé, l'ensemble des POS du palace est audité, une mise à jour maîtrisée est déployée. Aucune carte de client n'a pu être exfiltrée, la fenêtre d'attaque ayant été refermée avant la première transaction interceptée.

T + 0
Écriture suspecte détectée
T + 3 min
Corrélation SIEM CDN sortant
T + 45 min
Isolation, analyse malware
T + 3h
Nettoyage, audit tous POS
Résultat
0 carte exfiltrée, 0 rappel PCI-DSS déclenché
Un incident PCI-DSS non contenu peut coûter jusqu'à 100 000 € d'amende Visa/Mastercard, sans compter la perte de licence acceptation carte.
Skimmer POS

Chaque nuit, nos analystes veillent sur des hôtels comme le vôtre.

Découvrez la Business Plateform pour accéder aux battlecards, à la grille tarifaire complète et aux devis exemples.

Accéder à la Business Plateform Parler à un expert