Comment bloquer les attaques de bots sur votre site web, vos applications et vos API

Les bots représentent la moitié de tout le trafic web. Pourtant, seuls 2,8 % des sites web étaient entièrement protégés contre les attaques de bots en 2025, contre 8,4 % l’année précédente. Dans le même temps, le trafic de bots IA a quadruplé, les crawlers LLM générant à eux seuls près de 1,7 milliard de requêtes en un seul mois (Datadome Global Bot Security Report). L’écart entre le niveau de menace et le niveau de préparation n’a jamais été aussi important.

Nous avons rédigé ce guide pour vous aider à le combler. Ci-dessous, nous expliquons ce que recouvre réellement la protection contre les bots, les types d’attaques contre lesquels vous devez vous défendre, ainsi que les techniques spécifiques qui fonctionnent (et celles qui ne fonctionnent pas) pour bloquer les bots sur votre site web, votre application mobile et vos API.

Qu’est-ce que la protection contre les bots ?

La protection contre les bots désigne l’ensemble des outils, des pratiques et des politiques permettant d’identifier, de gérer et de bloquer le trafic automatisé malveillant. Elle couvre les sites web, les applications mobiles et les API. Une stratégie efficace de protection contre les bots permet de distinguer l’automatisation légitime (crawlers des moteurs de recherche, outils de monitoring, intégrations partenaires) des bots malveillants qui scrapent du contenu, réalisent du credential stuffing, commettent des fraudes ou saturent les infrastructures.

L’ampleur du problème est considérable. DataDome a testé près de 17 000 sites web dans 22 secteurs et a constaté que plus de 61 % d’entre eux n’étaient pas du tout protégés contre des attaques de bots simples. Cela signifie que la majorité des entreprises en ligne ne disposent d’aucune défense efficace, même contre des attaques automatisées basiques.

La protection contre les bots n’est plus optionnelle : toute entreprise disposant d’une présence en ligne doit mettre en place une stratégie de gestion du trafic automatisé.

Que sont les bots malveillants ?

Les robots internet — ou simplement « bots » — sont des programmes logiciels automatisés conçus pour exécuter des actions simples et répétitives sur internet. Leur principale caractéristique est leur capacité à effectuer des tâches bien plus rapidement qu’un humain, tout en pouvant fonctionner 24h/24 et 7j/7 sans interruption.

Il existe à la fois des bots légitimes et les bots malveillants. Un bon bot appartient généralement à une entreprise légitime (par exemple Google ou Facebook) et ne dissimule pas son identité. Les bons bots respectent les règles et les politiques définies dans le fichier robots.txt de votre site web. À l’inverse, un bot malveillant peut tenter de se faire passer pour un humain afin de provoquer divers types de problèmes.

La frontière entre les « bons » bots et les bots « malveillants » devient de plus en plus floue. Un crawler Google qui indexe votre site pour les résultats de recherche est clairement utile. Un scraper qui vole vos données de prix est clairement nuisible. Mais avec l’émergence d’agents IA autonomes, le paysage des menaces évolue. Des acteurs malveillants peuvent créer des agents qui paraissent légitimes, par exemple un assistant d’achat, mais qui sont programmés pour exploiter des vulnérabilités dès qu’une opportunité se présente. La question n’est donc plus seulement de savoir à quelle catégorie appartient un bot ou un agent IA au moment où il arrive, mais s’il a été conçu avec une intention malveillante, et si vos défenses sont capables de faire la différence.

Quels sont les types d’attaques de bots les plus courants ?

Voici neuf catégories d’attaques de bots qui ciblent le plus fréquemment les entreprises. Les comprendre est la première étape pour mettre en place une défense efficace.

1. Credential stuffing et account takeover

Les bots de credential stuffing utilisent des listes d’identifiants et de mots de passe volés lors de fuites de données et les testent à grande échelle sur des pages de connexion. Comme de nombreux utilisateurs réutilisent leurs mots de passe sur plusieurs sites, même un faible taux de réussite permet de compromettre des milliers de comptes. Le Global Bot Security Report 2025 de DataDome indique que 23 % du trafic de bots IA cible les pages de connexion, faisant de l’account takeover l’un des vecteurs d’attaque à la croissance la plus rapide.

2. Web scraping et extraction de données

Les bots de scraping extraient du contenu propriétaire (catalogues produits, prix, avis, articles) pour l’alimenter chez des concurrents ou le revendre. Pour les entreprises qui reposent sur du contenu original ou des prix compétitifs, le scraping peut faire disparaître un avantage concurrentiel du jour au lendemain. Ces bots alimentent également des outils de veille concurrentielle en temps réel, permettant à un concurrent de connaître vos prix et votre stock dès leur mise à jour.

3. Attaques DDoS de couche 7

Contrairement aux attaques DDoS au niveau réseau qui saturent la bande passante, les attaques de couche 7 (couche applicative) envoient des requêtes HTTP apparemment légitimes conçues pour surcharger votre serveur web, vos API ou votre base de données. Chaque requête semble normale individuellement, ce qui rend ces attaques beaucoup plus difficiles à détecter et à filtrer.

4. Bots scalpers et hoarders

Fréquents dans l’e-commerce et la billetterie, les scalper et hoarder bots achètent des stocks à disponibilité limitée (billets de concert, sorties de sneakers, réassorts produits) plus rapidement que n’importe quel humain. Les clients légitimes sont exclus, et les produits réapparaissent sur des marchés de revente à des prix gonflés.

5. Bots de spam et d’abus de contenu

Ces bots inondent les formulaires, les sections de commentaires et les plateformes d’avis avec du spam. Ils dégradent la qualité des données, nuisent à la crédibilité de la marque et génèrent une charge importante de modération.

6. Fraude au paiement et bots de card testing

Les bots de card testing utilisent des numéros de cartes bancaires volés et effectuent de petites transactions sur votre tunnel de paiement pour vérifier quelles cartes sont actives. Une fois validées, ces cartes sont utilisées pour de la fraude au paiement. Chaque transaction échouée génère malgré tout des frais de traitement et un risque de chargeback. Le rapport IC3 du FBI a estimé les pertes liées à la cybercriminalité à 16,6 milliards de dollars en 2024, dont 83 % proviennent de fraudes en ligne.

7. Bots d’abus d’API

Les API sont au cœur des applications modernes, et les attaquants le savent. Le Global Bot Security Report 2025 de DataDome montre que 64 % du trafic de bots IA cible les formulaires et 5 % atteint les tunnels de paiement. Ces bots exploitent la logique métier des API : manipulation des endpoints de prix, extraction de données utilisateurs ou automatisation d’actions non autorisées qu’un WAF ne détecterait jamais.

8. Bots de vulnerability scanning

Les scanners automatisés analysent en continu les sites web et applications à la recherche de vulnérabilités connues, comme des logiciels obsolètes, des serveurs mal configurés ou des panneaux d’administration exposés. Lorsqu’une faille est identifiée, elle peut être exploitée ou revendue pour du vol de données, de l’injection de malware ou du déploiement de ransomware.

9. Bots augmentés par l’IA

Il s’agit du nouveau front des menaces. Les bots augmentés par l’IA utilisent l’apprentissage automatique pour imiter le comportement humain, contourner les CAPTCHA, faire tourner des empreintes et adapter leurs tactiques en temps réel. Le Global Bot Security Report 2025 indique que les bots avancés capables de contourner le fingerprinting ne sont bloqués que par environ 7 % des cibles, laissant la majorité des organisations fortement vulnérables. Ces bots ne suivent pas des scripts : ils prennent des décisions. Les défenses traditionnelles conçues pour une automatisation statique ne peuvent plus suivre.

Quel est l’impact des bots malveillants sur votre activité ?

Les bots malveillants sont dangereux, car ils sont spécifiquement conçus pour mener des attaques, notamment des attaques par force brute, du credential stuffing, du web scraping, ou encore des attaques DDoS à grande échelle. Les attaques de bots peuvent impacter votre entreprise de nombreuses façons, notamment :

Vol de vos données sensibles

Les bots de scraping de contenu volent et réutilisent vos contenus sans autorisation. Ils peuvent également exfiltrer des données utilisateurs sensibles depuis votre base de données s’ils y accèdent, ce qui peut vous exposer à des sanctions légales et nuire à votre réputation sur le long terme. Les bots les plus avancés peuvent même collecter les informations de cartes bancaires de vos utilisateurs si elles ne sont pas correctement protégées.

Ralentissement des performances de votre site

L’activité des bots sur votre site met sous pression les ressources de votre serveur, ce qui impacte les performances et ralentit votre site. Un temps de chargement lent peut faire fuir vos visiteurs et dégrader les performances SEO de votre site.

Spam et liens frauduleux

Les spambots peuvent inonder vos formulaires, sections de commentaires et autres zones de votre site acceptant du contenu utilisateur. Ils y déposent souvent des liens vers des sites frauduleux, ce qui peut nuire à la réputation de votre entreprise et entraîner des pénalités de la part de Google.

Altération de vos indicateurs et augmentation des coûts

Les bots perturbent les analytics de votre site et peuvent augmenter vos coûts publicitaires. Les plateformes publicitaires peuvent vous facturer plus cher en supposant une hausse du trafic, alors qu’il provient en réalité de bots. À l’inverse, si vous êtes éditeur et que vous ne bloquez pas les bots malveillants, votre réputation peut être affectée si votre trafic de bots atteint vos annonceurs.

Perte de votre avantage concurrentiel

La réalité est simple : des acteurs malveillants peuvent voler vos données de prix et les revendre à vos concurrents, voire agir directement pour leur compte. Dans tous les cas, vous perdez votre avantage concurrentiel. Ce risque est particulièrement élevé dans les secteurs sensibles aux prix comme la billetterie, le voyage ou l’hôtellerie, où quelques euros peuvent faire la différence.

Voici comment cela fonctionne : des bots malveillants collectent vos données de prix. Vos concurrents achètent ces données, puis ajustent leurs tarifs à la baisse, ce qui élimine votre avantage concurrentiel.

Comment détecter le trafic de bots sur votre site web

Vous ne pouvez pas bloquer ce que vous ne voyez pas. Avant de choisir une stratégie de lutte contre les bots, vous devez comprendre quelle part de votre trafic est automatisée et à quel point ces bots sont sophistiqués.

Les quatre niveaux de sophistication des bots

Pourquoi le monitoring du trafic est-il essentiel ?

La plupart des entreprises ne découvrent qu’elles ont un problème de bots que lorsque les dommages sont déjà visibles : factures cloud anormalement élevées, analyses faussées ou vague de plaintes liées à des account takeovers. C’est pourquoi le monitoring continu du trafic est indispensable, et non optionnel.

Des outils comme Google Analytics, les logs d’accès serveur et les dashboards de bot management fournissent chacun une partie de la visibilité. Google Analytics met en évidence des anomalies comportementales (taux de rebond, durée des sessions, pics géographiques). Les logs serveur exposent les volumes de requêtes brutes, les chaînes User-Agent et les patterns de ciblage des points d’accès. Un tableau de bord de gestion des bots comme celui de DataDome permet, quant à lui, de classifier chaque requête en temps réel et de disposer du contexte nécessaire pour agir immédiatement.

Quels signaux d’activité bot surveiller ?

Plusieurs schémas dans vos données de trafic peuvent indiquer une activité de bots. Surveillez-les dans Google Analytics, vos logs serveur et votre dashboard CDN.

• Des pics inhabituels de connexions. Une augmentation soudaine des tentatives de connexion (en particulier les échecs) indique souvent une campagne de credential stuffing, surtout en dehors des heures normales d’activité.
• Des schémas de consultation anormaux. Les bots naviguent différemment des utilisateurs : enchaînement systématique de pages produits, consultation de centaines de pages en quelques secondes ou accès à des pages sans liens entrants.
• Des concentrations géographiques inattendues. Un pic de trafic provenant d’une région où vous n’avez ni clients ni activité marketing est souvent un indicateur d’activité de botnet.
• Des anomalies de session. Sessions de 0 seconde, absence de mouvements de souris ou accès direct au paiement sans navigation préalable sont des signaux comportementaux suspects.
• Des irrégularités dans le trafic API. Un volume disproportionné de requêtes ciblant certains endpoints d’API (prix, connexion, paiement) par rapport aux usages normaux est un indicateur fort d’abus d’API.

Comment stopper les attaques de bots : techniques et bonnes pratiques

Il n’existe pas d’outil unique capable de résoudre le problème des bots. Une protection efficace repose sur une stratégie multicouche et une compréhension réaliste des limites de chaque technique.

Techniques de base (héritées) pour stopper les bots

Ces méthodes constituent le socle historique de la défense contre les bots. Elles restent utiles, mais aucune n’est suffisante seule face aux bots modernes.

Blacklisting d’IP et géoblocage

Le blacklisting d’IP et le géoblocage consistent à bloquer le trafic provenant d’adresses IP malveillantes connues ou de régions géographiques entières, ce qui ne permet de stopper que les bots les moins sophistiqués.

Pourquoi ce n’est pas suffisant : les bots modernes font tourner des millions d’adresses IP résidentielles via des botnets et des pools de proxies. Le blacklisting d’IP génère des faux positifs pour les utilisateurs légitimes utilisant des IP partagées, des VPN ou des réseaux d’entreprise. Segpay en a fait l’expérience : l’entreprise a massivement utilisé le blacklisting d’IP, sans succès, car les attaquants changeaient facilement d’IP et le risque de bloquer des utilisateurs légitimes était trop élevé.

Analyse des User-Agent et règles robots.txt

Le fichier robots.txt indique aux bots quelles pages ils sont autorisés à explorer ou non. Le filtrage par User-Agent bloque les requêtes associées à des signatures de bots connues.

Pourquoi ce n’est pas suffisant : seuls les bots les plus basiques respectent le fichier robots.txt. Il s’agit d’une directive, pas d’un mécanisme de protection. Tout bot un minimum avancé falsifie sa chaîne User-Agent pour se faire passer pour un navigateur légitime. Bien que 88,9 % des fichiers robots.txt du dataset DataDome bloquent désormais explicitement GPTBot, ce signal seul ne suffit pas à empêcher le crawling non autorisé.

Rate limiting et throttling

Le rate limiting consiste à limiter le nombre de requêtes qu’une adresse IP ou une session peut effectuer sur une période donnée. Il permet de ralentir les attaques par force brute et d’éviter que des scripts simples ne saturent votre serveur.

Pourquoi ce n’est pas suffisant : les opérateurs de bots sophistiqués distribuent leurs requêtes sur des milliers d’IP, restant sous les seuils pour chacune d’elles. Le rate limiting pénalise également les utilisateurs légitimes lors de pics de trafic, comme les ventes flash ou les lancements de produits. Il ralentit les bots, mais ne les arrête pas.

Web application firewalls (WAF)

Les WAF filtrent le trafic entrant selon des règles prédéfinies, en bloquant les requêtes correspondant à des schémas d’attaque connus comme les injections SQL ou le cross-site scripting. Toute architecture de sécurité devrait en inclure un.

Pourquoi un WAF seul ne suffit pas : les WAF reposent sur des règles statiques. Ils nécessitent une maintenance manuelle constante à mesure que les schémas d’attaque évoluent. Les bots modernes envoient des requêtes HTTP parfaitement valides qui ne correspondent à aucune règle connue, car ils n’exploitent pas une vulnérabilité technique, mais la logique métier de votre application.