Taille ≠ sécurité: Les grandes entreprises échouent encore à la protection contre les bots
L’une des découvertes peut-être les plus surprenantes de notre Global Bot Security Report 2025 est que lorsqu’il s’agit de protection contre les bots, l’échelle ne signifie pas sécurité. Qu’une entreprise soit une startup ou une entreprise mondiale, la plupart des organisations échouent encore à détecter même les attaques automatisées les plus simples.
Pour un problème qui coûte des milliards à l’économie mondiale en fraude, scraping et vol de données, nos données révèlent un problème plus profond dans la manière dont les entreprises abordent la préparation à la sécurité.
Plus grand ne signifie pas plus sûr
Chaque année, DataDome teste des milliers de sites web à fort trafic dans le monde entier pour mesurer leur efficacité à détecter et bloquer les menaces automatisées courantes. Pour l’édition 2025 de notre rapport, nous avons analysé près de 17 000 domaines populaires.
Les données de 2025 montrent que les grandes entreprises ont une protection contre les bots seulement marginalement plus forte que les plus petites.
Parmi les entreprises de plus de 10 000 employés, près de 61 % des domaines ont laissé passer chaque demande de bot de test, tandis que seulement 2,16 % des sites web testés ont correctement identifié tous les bots de test (nous les considérons comme entièrement protégés). À l’autre extrémité du spectre, environ 62 % des entreprises de 50 employés ou moins n’ont détecté aucun bot, avec moins de 3 % entièrement protégées.
L’écart entre les petites et grandes organisations s’est considérablement réduit au cours de l’année écoulée. Comme le souligne le rapport :
« Bien que les grandes entreprises conservent encore un léger avantage, la marge est plus petite. En 2024, les grandes entreprises étaient plus de 10 fois plus susceptibles d’avoir une protection complète que les plus petites entreprises ; en 2025, cet écart s’est réduit à un seul point de pourcentage dans de nombreux cas. »

Plus grandes entreprises, plus grands angles morts ?
Nous avons également constaté que les niveaux de protection restent faibles dans toutes les catégories de volume de trafic, et que les plus grands domaines, les plus visités, sont en réalité souvent les moins protégés.
« Les plus grands domaines, ceux avec plus de 30 millions de pages vues mensuelles, avaient en fait le taux de protection complète le plus bas de notre ensemble de données, à seulement 2,04 %. »
En revanche, les plus petits domaines (moins de 10 millions de visites mensuelles) ont légèrement mieux performé, mais ont tout de même laissé plus de 61 % du trafic entièrement exposé.
Cette perspicacité particulière est contre-intuitive mais révélatrice : l’échelle ne conduit pas à la maturité de la sécurité. En fait, la complexité des grandes infrastructures joue souvent contre elles, créant des angles morts sur plusieurs surfaces numériques (sites web, API et applications mobiles) que les bots peuvent facilement exploiter.
Comme le conclut le rapport :
« Le volume de trafic à lui seul n’est pas un indicateur fort de la maturité de la protection contre les bots en 2025. En fait, les niveaux de protection les plus bas ont été trouvés parmi les plus grands sites web à fort trafic, ceux avec plus de 30 millions de visiteurs mensuels. »
Cela signifie que les sites web qui attirent le plus d’attention (et le plus d’attaquants) sont souvent les moins équipés pour les arrêter.

Une mauvaise hygiène des bots invite à des attaques à haut ROI
Ces découvertes ont une implication financière directe. Lorsqu’un site web ne parvient pas à arrêter même les bots de base, il devient une cible de choix pour une exploitation plus avancée et à plus haut ROI. Comme notre équipe de recherche sur les menaces le prévient :
« Une mauvaise hygiène des bots devient un signal pour les fraudeurs que votre pile est mûre pour une exploitation plus agressive et à haut ROI. »
Si le trafic simple passe inaperçu, les attaquants savent que l’automatisation plus sophistiquée (utilisant des proxies résidentiels, le spoofing d’empreintes digitales ou la prise de décision basée sur l’IA) passera probablement inaperçue également.
C’est alors que les mauvais acteurs escaladent : du scraping et du déni d’inventaire au credential stuffing, au carding et à la prise de contrôle de compte.
Ou, comme le dit le rapport :
« Les attaques avancées ne commencent pas toujours de manière avancée. Elles s’intensifient. Et si votre pile de détection échoue sur les bases, vous ne manquez pas seulement les petites menaces, vous en invitez de plus grandes. »
Les points de terminaison à haut ROI que chaque entreprise doit protéger
Les données de 2025 montrent également que les bots pilotés par l’IA ciblent de plus en plus les points de terminaison transactionnels à haute valeur.
Dans l’analyse des clients de DataDome, les bots pilotés par l’IA ont interagi le plus fortement avec les formulaires (64 %), les pages de connexion (23 %) et les flux de paiement (5 %). Ce sont les mêmes points où l’automatisation génère les rendements financiers les plus élevés pour les attaquants, et les pertes potentielles les plus élevées pour les entreprises.
Sans détection en temps réel basée sur l’intention, ces points de terminaison restent ouverts aux abus, tels que le credential stuffing, la création de faux comptes ou le scraping piloté par l’IA de produits, de prix et de données clients.
Protéger ces cibles à haut ROI nécessite plus qu’une défense périmétrique. Cela exige une visibilité continue sur qui ou quoi interagit avec vos systèmes, et pourquoi.
Pourquoi la détection basée sur l’intention est désormais une nécessité commerciale
Alors que l’IA et le commerce agentique transforment Internet, les entreprises ne peuvent plus se permettre de se demander seulement « Est-ce un bot ? » La question doit devenir : « Quelle est l’intention derrière cette demande ? »
Pour les entreprises de toutes tailles, cela signifie passer de la détection statique à une protection adaptative basée sur le comportement, capable de distinguer l’automatisation légitime de l’activité malveillante en temps réel.
Les entreprises et les plateformes en pleine croissance devront adopter la détection basée sur l’intention et l’analyse du trafic pilotée par l’IA pour maintenir le contrôle, protéger la confiance des utilisateurs et empêcher la fraude d’éroder la croissance.
Parce qu’à toutes les échelles, de la plus petite boutique en ligne à la marque mondiale la plus visitée, la réalité est la même : Si vous ne pouvez pas détecter les bots simples aujourd’hui, vous ne pouvez pas vous défendre contre les bots intelligents demain.
Téléchargez le rapport complet sur la sécurité des bots
Le Global Bot Security Report 2025 discute de la manière dont la taille de l’entreprise, l’échelle du trafic et l’hygiène des bots sont liées au risque réel, et ce que les organisations peuvent faire pour construire des défenses plus solides et basées sur l’intention avant que l’automatisation pilotée par l’IA ne devienne la norme.
Téléchargez le rapport complet pour évaluer votre organisation, identifier les points faibles et renforcer vos défenses là où elles comptent le plus.