Hôtel 4 étoiles, 120 clés, Côte d'Azur, mars 2026.
À 3h47 du matin, l'EDR HarfangLab détecte un processus PowerShell anormal sur le serveur PMS Opera Cloud. La signature comportementale correspond à la kill-chain du ransomware Akira, connu pour cibler l'hôtellerie européenne depuis 2024.
En moins de 60 secondes, le serveur est isolé automatiquement du réseau. À 3h49, l'astreinte SOC est déclenchée. À 4h12, l'analyste français appelle le directeur des systèmes d'information. Le contrôleur de domaine Windows est également isolé par précaution. Les 118 chambres restaurent normalement leur check-out à 11h le matin même sans que le service ait été impacté.
Groupe régional 5 hôtels, Grand Est, mars 2026.
L'agence de gestion locative qui pilote la distribution OTA du groupe utilise un compte extranet Booking mutualisé. Les identifiants de ce compte sont dérobés via un infostealer installé sur le poste d'une collaboratrice de l'agence. L'attaquant se connecte depuis une IP résidentielle roumaine, modifie l'IBAN de reversement dans les paramètres financiers de trois établissements et exporte les listes de réservations des 90 jours à venir (données clients, dates de séjour, cartes de garantie tokenisées).
Le SIEM Sekoia détecte l'anomalie via une règle de corrélation dédiée OTA, un login extranet Booking depuis un pays inhabituel pour ce groupe, suivi de modifications sensibles en série. En parallèle, Panop.io avait déjà signalé la fuite des identifiants sur un canal Telegram cybercriminel 6 heures plus tôt. L'analyste SOC révoque la session active, force la réinitialisation du mot de passe, contacte Booking Trust and Safety pour geler les IBAN modifiés et notifier les clients dont les données de réservation ont été exportées.
Palace 5 étoiles, Paris, novembre 2025.
L'agent EDR sur le poste POS du bar (Simphony Oracle) détecte l'écriture d'un script inhabituel dans le répertoire de l'application caisse. Le SIEM Sekoia corrèle en parallèle une connexion sortante récurrente vers un CDN suspect hébergé en Amérique du Sud, non listé dans le référentiel d'IOC hôtelier.
L'analyste SOC français confirme la présence d'un skimmer JavaScript de la famille Magecart, injecté via une mise à jour compromise du plugin de pourboires. En 3 heures, le poste est nettoyé, l'ensemble des POS du palace est audité, une mise à jour maîtrisée est déployée. Aucune carte de client n'a pu être exfiltrée, la fenêtre d'attaque ayant été refermée avant la première transaction interceptée.
Découvrez la Business Plateform pour accéder aux battlecards, à la grille tarifaire complète et aux devis exemples.