Comment sécuriser les agents d’IA tout en préservant vos revenus ?
Les agents d’IA opèrent déjà sur votre site web. Certains agissent comme des assistants d’achat utiles. D’autres extraient vos prix ou volent votre contenu. Le défi consiste à les distinguer avant qu’ils ne causent des dommages.
La détection traditionnelle des bots cherche à répondre à la question « est-ce un humain ou non ? ». Cette approche binaire échoue face aux agents d’intelligence artificielle, car ils se comportent davantage comme des humains, s’adaptent en temps réel et peuvent passer d’un comportement utile à un comportement nuisible au cours d’une même session. Selon une étude de McKinsey, le marché américain du retail B2C pourrait à lui seul générer jusqu’à 1 000 milliards de dollars de revenus orchestrés par l’agentic commerce, avec des projections mondiales atteignant 3 000 à 5 000 milliards de dollars(1).
C’est là que la gestion de la confiance agentique devient essentielle. Plutôt que de bloquer toute automatisation ou de faire confiance à tout ce qui ressemble à un humain, vous évaluez en continu l’intention et le comportement de chaque agent. Vous décidez quels agents alimentés par l’IA autoriser, lesquels bloquer, et lesquels faire payer pour accéder à votre contenu.
Points clés
- La question n’est plus « bot ou pas bot ? », mais « fiable ou pas fiable ? » : la détection traditionnelle des bots bloque l’automatisation malveillante, mais les agents d’IA exigent une évaluation fondée sur le comportement, l’intention et l’alignement avec les règles métier plutôt qu’une simple classification humain-ou-bot.
- La confiance doit être continue, jamais permanente : les agents d’IA légitimes peuvent être compromis ou changer de comportement au fil du temps. Ils nécessitent donc une surveillance permanente et des politiques d’authentification adaptatives ajustant automatiquement les permissions selon les actions en cours.
- La visibilité prime : les organisations découvrent bien plus de trafic provenant d’agents d’IA qu’elles ne l’imaginaient lorsqu’elles commencent à le surveiller. Une visibilité complète est indispensable avant toute mise en place de politiques de gestion de la confiance.
- La gestion de la confiance agentique permet la croissance : plutôt que de simplement bloquer les menaces, des cadres de confiance efficaces permettent aux organisations de participer en toute sécurité à l’économie des agents, en soutenant l’automatisation bénéfique tout en maintenant une sécurité robuste.
Qu’est-ce que la gestion de la confiance agentique ?
La gestion de la confiance des agents est une approche de sécurité qui identifie les agents d’IA, évalue leur comportement et leur intention, puis applique en temps réel des règles d’accès basées sur leur niveau de confiance.
Contrairement à la détection des bots traditionnelle, qui repose sur des signatures fixes ou des classifications ponctuelles, la gestion de la confiance agentique considère la confiance comme dynamique. Un agent qui semble légitime au départ peut commencer à scraper de manière agressive. Un agent auparavant inconnu peut s’avérer fiable au fil de plusieurs sessions. Les scores de confiance s’ajustent en continu en fonction de ce que les agents font réellement, et non de ce qu’ils prétendent être.
L’objectif est de permettre l’utilisation légitime d’agents alimentés par l’IA (comme les assistants d’achat virtuels ou les outils automatisés de recherche) tout en bloquant les acteurs malveillants qui scrappent des données, créent de faux comptes ou manipulent les prix.
Pourquoi la détection traditionnelle des bots échoue face aux agents d’IA
La détection traditionnelle des bots a été conçue pour un paysage de menaces plus simple. Les bots suivaient des schémas prévisibles. Ils avaient des signatures détectables. Ils ne pouvaient pas s’adapter en cours de session. Les agents IA, eux, fonctionnent différemment :
- Ils imitent beaucoup mieux le comportement humain. Les agents d’IA peuvent résoudre des CAPTCHA, naviguer naturellement sur les sites et varier leurs schémas de comportement. Les signaux classiques de détection (mouvements de souris, modèles de clics) ne permettent plus de distinguer de manière fiable les humains de l’automatisation.
- Ils s’adaptent en temps réel. Lorsqu’un agent d’IA rencontre une résistance, il peut immédiatement changer de tactique. Il peut ralentir ses requêtes, modifier son user-agent ou passer par différentes adresses IP, tout en poursuivant son objectif principal.
- Ils utilisent des protocoles légitimes. De nombreux agents IA utilisent des serveurs Model Context Protocol (MCP) pour accéder aux données web via des interfaces standardisées. Ces agents se présentent comme des outils autorisés plutôt que comme des scrapers suspects.
- Ils ont des usages multiples. Un même agent d’IA peut aider un client à faire ses achats de manière légitime tout en scrappant l’inventaire d’un autre site. L’intention dépend du contexte, pas de l’identité de l’agent.
Cette complexité impose de passer du « bot ou pas » au « établir la confiance ou non ». Cette confiance doit être évaluée en continu.
Comment les agents d’IA créent des risques commerciaux et de sécurité dans tous les secteurs
Les agents IA autonomes génèrent, à grande échelle, des impacts concrets et mesurables sur les entreprises, et ce dans de nombreux secteurs.
E-commerce et retail
Les agents d’IA dans le retail opèrent à grande vitesse. Ils comparent les prix de dizaines de concurrents instantanément. Ils surveillent l’état des stocks en temps réel. Ils créent des workflows d’achat automatisés qui contournent les tunnels de conversion traditionnels.
Les problèmes que cela crée :
- Le scraping de prix perturbe la stratégie concurrentielle. Lorsque des concurrents utilisent des agents alimentés par l’IA pour surveiller vos prix minute par minute, ils peuvent vous sous-enchérir automatiquement. Vous perdez le contrôle de vos prix et votre flexibilité de marge.
- Le scraping d’inventaire révèle des informations sensibles. Les agents qui suivent les ruptures de stock donnent à vos concurrents des indications sur votre chaîne d’approvisionnement, vos tendances de demande et la performance de vos produits.
- L’attribution devient imprécise. Lorsque les agents d’IA achètent au nom des utilisateurs, les modèles d’attribution traditionnels cessent de fonctionner. Vous ne pouvez plus mesurer avec précision quels canaux marketing génèrent réellement des conversions.
- Le faux trafic gonfle les métriques. Les agents d’IA qui consultent vos pages produits ressemblent à des clients intéressés mais ne convertissent jamais. Cela fausse les analyses et conduit à de mauvaises décisions commerciales.
Médias et édition
DataDome a détecté près de 1,2 milliard de requêtes provenant des crawlers d’OpenAI pour le seul mois de juin 2025. Les crawlers LLM et les collecteurs basés sur MCP issus de l’écosystème IA extraient le contenu propriétaire à grande échelle, souvent en contournant robots.txt et autres contrôles d’accès traditionnels.
L’impact pour les éditeurs :
- Le contenu est réutilisé sans attribution ni rémunération. Les systèmes d’intelligence artificielle s’entraînent sur du contenu protégé, puis le reproduisent dans leurs réponses sans renvoyer de trafic vers les éditeurs.
- Les paywalls perdent en efficacité. Les agents d’IA autonomes peuvent accéder au contenu réservé aux abonnés, puis le redistribuer librement via des interfaces conversationnelles.
- La valeur SEO diminue. Lorsque les utilisateurs obtiennent leurs réponses via des systèmes IA au lieu de visiter les sites des éditeurs, le trafic organique chute.
SaaS et plateformes développeurs
Les agents d’IA s’intègrent de plus en plus aux plateformes SaaS pour automatiser des workflows et extraire des données. Si certaines intégrations sont légitimes, les accès non autorisés créent plusieurs risques :
- Extraction de données non licenciées. Des agents scrappent des données depuis les plateformes SaaS pour l’entraînement de modèles ou des analyses concurrentielles, sans accord de licence.
- Abus d’API. Des requêtes automatisées en très grand volume peuvent surcharger les API, dégradant le service pour les utilisateurs légitimes.
- Exposition de données. Lorsque des agents d’IA accèdent à des plateformes avec des permissions étendues, ils peuvent extraire des données sensibles qui n’auraient jamais dû être accessibles en externe.
L’argumentaire commercial pour la gestion de la confiance des agents
La gestion de la confiance agentique va bien au-delà de la sécurité. Elle permet de soutenir de nouveaux modèles économiques tout en protégeant ceux qui existent déjà.
Protéger les avantages concurrentiels. Votre stratégie de prix, vos niveaux d’inventaire et votre assortiment de produits constituent votre différenciation. Les agents IA qui scrappent ces données à grande échelle donnent à vos concurrents une visibilité qui érode votre position sur le marché. La gestion de la confiance agentique protège ces informations stratégiques tout en laissant fonctionner normalement les outils IA orientés client.
Permettre le commerce agentique en toute sécurité. Les assistants d’achat IA et les agents d’achat autonomes représentent l’avenir du e-commerce : l’agentic commerce. Bloquer tous les agents d’IA revient à passer à côté de cette évolution. La gestion de la confiance agentique permet de prendre en charge les cas d’usage légitimes du commerce piloté par IA tout en bloquant les abus.
Monétiser l’accès IA. Les éditeurs et plateformes de contenu peuvent transformer le trafic IA d’une menace en source de revenus. En identifiant et en classifiant les modèles IA et les courtiers de données, vous pouvez appliquer vos accords de licence et être rémunéré pour l’accès au contenu.
Maintenir l’exactitude des données. Lorsque les agents IA gonflent vos mesures de trafic sans convertir, vous prenez de mauvaises décisions commerciales. L’attribution marketing devient imprécise. L’analyse de la performance produit perd en fiabilité. La gestion de la confiance agentique sépare l’intérêt utilisateur réel du bruit généré par les agents d’IA.
Réduire le risque de fraude. Les agents d’IA créent de faux comptes, lancent des attaques de credential stuffing et sondent vos systèmes à grande échelle à la recherche de vulnérabilités. La détection basée sur la confiance identifie ces attaques plus tôt que les approches fondées sur les signatures.
Comme l’explique Dan Ayash, Director of Advanced Cybersecurity Solutions chez PayPal, dans son témoignage : « Pour lutter contre les bots pilotés par l’IA, il faut comprendre ce qu’ils essaient de faire, pas seulement qui ils sont. C’est ce que DataDome nous aide à accomplir. »
Comment mettre en œuvre la gestion de la confiance agentique
La mise en œuvre de la gestion de la confiance agentique nécessite une approche structurée :
1. Obtenir de la visibilité sur l’activité des agents d’IA
Commencez par comprendre quels agents d’IA accèdent déjà à vos systèmes. La plupart des organisations sous-estiment largement le volume et la diversité du trafic provenant d’agents IA. Déployez une détection qui classifie :
- les agents IA connus (ChatGPT browsing, Claude, Perplexity, etc.),
- les connexions de serveurs MCP,
- les crawlers LLM et scrapers,
- les agents inconnus présentant des schémas suspects
Suivez les zones de votre site ou application auxquelles les agents d’IA accèdent le plus souvent. Recherchez les schémas indiquant du scraping, de la collecte d’intelligence concurrentielle ou de l’extraction de données.
2. Définir votre politique de gestion des agents d’IA
Tous les agents ne doivent pas être traités de la même manière. Décidez quels comportements que vous souhaitez :
- autoriser librement : agents de recherche, outils d’accessibilité, assistants d’achat légitimes ;
- autoriser avec restrictions : crawlers IA respectant les limites de taux et le fichier robots.txt ;
- monétiser : courtiers de données, outils d’entraînement IA, scrapers commerciaux ;
- bloquer entièrement : acteurs malveillants, scrapers non autorisés, agents se faisant passer pour d’autres.
Votre politique doit être alignée avec vos objectifs business. Si vous êtes éditeur, vous pouvez monétiser les données d’entraînement IA. Si vous êtes dans le e-commerce, vous pouvez prioriser la protection des données de tarification tout en autorisant les assistants d’achat.
3. Mettre en place un contrôle d’accès basé sur la confiance
Configurez des règles d’accès qui s’adaptent au comportement des agents :
- définissez des scores de confiance de base selon les catégories d’agents connues ;
- identifiez les déclencheurs qui augmentent ou réduisent la confiance (violations de limites de taux, schémas suspects, etc.) ;
- établissez des seuils pour différentes actions (limitation de débit, blocage, challenges de vérification humaine) ;
- créez des exceptions pour les agents vérifiés et fiables.
Le système doit prendre des décisions de classification initiales mais optimiser ces décisions en fonction du comportement observé.
4. Surveiller et ajuster
Le comportement des agents d’IA évolue rapidement. Vos politiques doivent évoluer au même rythme.
- Analysez régulièrement la distribution des scores de confiance
- Identifiez les nouveaux types d’agents à mesure qu’ils apparaissent
- Ajustez les limites de taux et les règles d’accès selon l’impact commercial
- Suivez les faux positifs (agents légitimes bloqués) et les faux négatifs (agents malveillants détectés trop tard)
Une surveillance régulière garantit l’efficacité continue de votre gestion de la confiance agentique face à l’évolution de l’écosystème IA.
L’approche de DataDome pour la gestion de la confiance agentique
La solution Agentic Commerce Trust de DataDome offre une protection complète pour l’ère du commerce agentique, en vous apportant visibilité, contrôle et confiance sur l’ensemble de vos surfaces numériques.
Voir et comprendre le trafic agentique : les agents d’IA et les robots d’indexation des LLM consultent déjà vos pages produits, vos API et vos applications. Parfois pour aider vos clients à passer commande, parfois pour exploiter votre plateforme. DataDome vous apporte une visibilité complète et en temps réel sur les humains, les bots et les agents d’IA qui interagissent avec vos sites web, applications mobiles, API et serveurs MCP.
Visibilité totale en moins de 2 millisecondes : notre plateforme détecte et classe tout le trafic (humain, bot et agent IA) sur l’ensemble de votre présence numérique. Le tableau de bord intuitif identifie les agents vérifiés, inconnus et non fiables tout au long du parcours utilisateur, en montrant précisément quels contenus ils consultent et comment ils se comportent.
Comprendre l’intention en un coup d’œil : identifiez quels agents d’IA naviguent, comparent les prix ou finalisent des achats. Suivez les schémas de trafic et les tendances comportementales avant qu’ils ne déforment vos analyses ou ne commettent des fraudes.
Contrôler quels agents peuvent interagir, et comment : autorisez, bloquez ou appliquez des limites de taux aux agents et crawlers LLM par nom et par source, au niveau des pages, des API ou des actions. Cela inclut une détection spécialisée pour le trafic d’origine MCP, permettant des règles d’accès différenciées pour les communications agent-vers-application.
Permettre aux agents d’IA légitimes de naviguer, comparer et acheter : Avec moins de 0,01 % de faux positifs, DataDome offre des expériences d’achat assistées par IA fluides et fiables, transformant le trafic agentique en revenus mesurables.
L’avenir de la sécurité des agents d’IA
Les cinq prochaines années détermineront la manière dont les entreprises interagiront avec les agents IA. Le marché mondial des agents d’IA devrait atteindre 50,31 milliards de dollars d’ici 2030(2). L’ère de l’IA est bel et bien arrivée. À mesure que l’adoption s’accélère, les organisations sont confrontées à un choix : bloquer tous les agents et manquer des opportunités, ou développer des cadres de confiance sophistiqués permettant de soutenir les acteurs légitimes tout en stoppant les acteurs malveillants.
La confiance est devenue la nouvelle monnaie de l’économie des agents d’IA. Selon des recherches de Deloitte(3), le lien entre la confiance sociétale et la performance économique est bien documenté : une augmentation de 10 points du niveau de confiance au sein d’un pays accroît la croissance annuelle réelle du PIB par habitant d’environ 0,5 point. Alors que de plus en plus de transactions sont prises en charge par des agents d’IA, cette relation de confiance évolue.
La question fondamentale à laquelle les organisations doivent répondre est la suivante : peut-on faire confiance aux agents d’IA ? Comment établir la confiance avec l’IA ? Au cœur du sujet, la confiance dans les agents IA repose sur deux éléments : la compétence (la capacité à exécuter) et l’intention (le but derrière les actions). Si la compétence des systèmes d’IA avancés est rarement mise en doute, l’intention reste incertaine sans mécanismes de vérification appropriés.
La gestion de la confiance agentique apporte ce cadre. Elle permet de passer d’une logique de sécurité binaire (autoriser ou bloquer) à des politiques de confiance nuancées et adaptatives, alignées sur les objectifs business.
FAQ
Les agents GenAI sont des systèmes d’IA alimentés par des modèles d’IA générative capables d’agir de manière autonome pour atteindre des objectifs précis. Contrairement aux simples chatbots, les agents GenAI peuvent planifier des tâches en plusieurs étapes, interagir avec des systèmes externes via des API, prendre des décisions en fonction du contexte et adapter leur stratégie en fonction des résultats. Par exemple, un agent d’achat GenAI peut rechercher des produits sur plusieurs sites, comparer les prix et finaliser un achat, le tout sans intervention humaine à chaque étape.
La confiance agentique désigne le niveau de confiance selon lequel les interactions avec un agent respectent leurs objectifs déclarés et restent dans des limites prédéfinies. Lorsque la confiance agentique est élevée, les utilisateurs laissent les agents d’IA gérer des tâches sensibles, comme des transactions financières ou l’accès à des données, sans supervision constante. Lorsque la confiance est faible, les utilisateurs surveillent de près chaque action ou évitent complètement d’utiliser les agents d’IA. La confiance repose sur deux facteurs : la compétence (l’agent peut-il exécuter les tâches de manière fiable ?) et l’intention (agira-t-il dans mon intérêt ?). Les organisations renforcent la confiance agentique grâce à la transparence, la cohérence des comportements, des limites clairement définies et des mécanismes de responsabilité.
Références
- https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-agentic-commerce-opportunity-how-ai-agents-are-ushering-in-a-new-era-for-consumers-and-merchants
- https://www.grandviewresearch.com/industry-analysis/ai-agents-market-report
- https://www.deloitte.com/content/dam/insights/articles/2024/us144378_econ-trust-and-economic-prosperity/di-econ-trust-and-economic-prosperity.pdf