DataDome

IA multi-couche : une nouvelle exigence pour une protection avancée contre les bots

Table des matières
IA agentique
Jerome Segura, VP of Threat Research
29 Jul, 2025
|
min

Nous avons pu constater la puissance et le potentiel de l’intelligence artificielle (IA) intégrée à la vie quotidienne. Ce que l’on ignore souvent, c’est que la cybersécurité est l’un des secteurs les plus profondément impactés par l’innovation en IA. Alors que les entreprises de cybersécurité explorent de nouvelles manières d’exploiter l’IA, les cybercriminels s’emploient à faire de même — plus vite et avec moins de contraintes. L’époque où les cyberattaques étaient orchestrées manuellement sur des cibles limitées est révolue. Désormais, les attaquants disposent de l’automatisation, de l’effet de communauté et d’outils génératifs, qui leur permettent d’opérer à une échelle et à une vitesse inédites.

L’IA et l’automatisation permettent également aux cybercriminels de lancer des attaques de bots qui imitent de plus en plus le comportement humain et contournent facilement les défenses traditionnelles. Nous voyons tout : du scalping de billets (pensez au fiasco des billets de Taylor Swift) et des account takeovers entraînant d’énormes fuites de données, jusqu’aux attaques de scraping menées par des agents alimentés par des LLM ou des assistants d’achat IA agissant au nom des utilisateurs. Et la liste ne cesse de s’allonger.

Ces attaques sont souvent hautement distribuées, exploitant des adresses IP à usage unique, des proxys résidentiels et des modèles de trafic conçus pour échapper à la détection. Beaucoup se déroulent sous forme de campagnes successives — scraping suivi d’accaparement de stock, ou account takeover suivi de fraude au paiement, de fausses inscriptions ou d’abus de points de fidélité. Cette sophistication s’étend à leur capacité de contourner les mesures de sécurité traditionnelles comme les CAPTCHA. Ils utilisent des techniques avancées et intègrent parfois même des services « human-in-the-loop » pour déjouer les défenses, comme on le constate avec les fermes de CAPTCHA.

Les attaques de bots propulsées par l’IA représentent désormais un risque commercial constant et critique pour les entreprises, qui exige des contre-mesures tout aussi sophistiquées et complètes. Les entreprises ne peuvent plus dépendre de solutions obsolètes et statiques comme les WAF, ni même de moteurs plus simples basés sur l’apprentissage automatique. Pour détecter et stopper ces menaces, il faut un système d’IA multi-couche conçu pour inspecter chaque requête en temps réel et s’adapter instantanément aux nouveaux comportements.

Pourquoi l’utilisation de l’apprentissage automatique par DataDome est unique

Alors que l’IA s’est démocratisée, les entreprises se sont empressées de revendiquer des usages de l’IA, rendant de plus en plus difficile pour les professionnels de la sécurité de distinguer quelles solutions utilisent réellement l’IA et lesquelles s’en réclament simplement pour paraître plus sophistiquées qu’elles ne le sont.

DataDome se démarque par la manière dont nous appliquons l’IA et l’apprentissage automatique à grande échelle. Notre système est conçu pour inspecter chaque requête, à chaque fois, sur l’ensemble des points d’accès. Notre moteur de détection en temps réel propulsé par l’IA traite l’impressionnante quantité de 5 000 milliards de signaux par jour et diffuse instantanément de nouvelles données sur tous les terminaux protégés. Le moteur de détection IA de DataDome va plus loin encore en adoptant une approche double : il utilise les empreintes du trafic HTTP pour collecter des signaux côté serveur, tout en exploitant les données du navigateur et de l’appareil pour obtenir des signaux comportementaux côté client.

Notre recours à l’apprentissage automatique, plutôt qu’à la création manuelle de règles, nous permet de nous adapter et de répondre aux menaces émergentes à la vitesse des machines. Les performances et capacités de protection de la plateforme sont renforcées par son fonctionnement à la périphérie, à travers un réseau de plus de 30 points de présence (PoP). Cette configuration permet à DataDome d’exploiter en temps réel les données de menace disponibles, quelle que soit l’origine du trafic. Le système est entièrement automatisé, et cela offre aux équipes de sécurité la liberté de se concentrer sur des priorités à plus forte valeur ajoutée, sans perdre le contrôle.

Surtout, l’équipe Advanced Threat Research de DataDome joue un rôle actif dans l’évolution de notre IA. Elle suit en continu les nouvelles méthodes d’attaque, analyse les anomalies de trafic et affine la logique de détection. Son travail garantit que les modèles alimentant notre IA ne sont pas seulement vastes, mais aussi précis et à jour.

Pourquoi une équipe de recherche sur les menaces robuste est-elle essentielle à une gestion des bots efficace ? Parce que l’IA n’est aussi performante que les signaux sur lesquels elle s’entraîne. En alimentant nos modèles avec du renseignement terrain et des boucles de rétroaction en direct, nous garantissons que notre détection garde une longueur d’avance sur les attaquants, peu importe la rapidité avec laquelle le paysage des menaces évolue.

Et nous n’avons même pas encore abordé l’un des aspects les plus importants de notre moteur de détection : notre IA multi-couche.

La compétence clé de DataDome : l’IA multi-couche

Une attaque de bots sophistiquée exige une défense tout aussi avancée. Notre moteur de détection alimenté par l’IA utilise plusieurs couches de modèles IA/apprentissage automatique qui fonctionnent de concert, en temps réel, pour déterminer en moins de 2 millisecondes si une requête est malveillante.

Pourquoi une approche multi-couche est-elle si importante ? Tout d’abord, parce que les bots actuels sont conçus pour échapper à une détection superficielle. Certains opèrent au niveau comportemental, d’autres usurpent des attributs d’appareil ou des en-têtes d’empreintes digitales, et une méthode unique de détection ne peut pas tous les intercepter. Ensuite, différents cas d’usage exigent différents types d’analyses. Un modèle optimisé pour bloquer la fraude publicitaire ne détectera pas les abus de création de comptes de la même manière. En superposant plusieurs modèles, DataDome peut adapter la détection aux menaces spécifiques, aux secteurs d’activité et aux niveaux de tolérance au risque.

Cette flexibilité est particulièrement importante à mesure que les types d’automatisation évoluent. Toutes les entreprises ne subissent pas de scraping par des bots IA génératifs, mais certaines oui. Toutes ne sont pas ciblées par la création de faux comptes ou le credential stuffing, mais beaucoup le sont. L’approche multi-couche de DataDome s’adapte à ces différences en analysant un large éventail de signaux, agrégés à différents niveaux : requête, session, IP et empreinte, sur des fenêtres temporelles variées.

Notre moteur de détection applique une combinaison de techniques d’apprentissage automatique, telles que l’analyse comportementale, l’apprentissage supervisé, les algorithmes génétiques, l’analyse de séries temporelles et la détection d’anomalies. Il prend également en compte les bots vérifiés et respecte les règles spécifiques définies par les clients. Tout cela s’opère avec une inférence et une explicabilité en temps réel, afin que les équipes puissent comprendre comment et pourquoi une décision a été prise. Résultat : une détection rapide, précise, évolutive et adaptée — non seulement à la menace, mais aussi à l’entreprise ciblée. Cela comprend la capacité à distinguer l’automatisation bénigne (comme les crawlers de recherche et les agents IA approuvés) du trafic malveillant provenant de bots non autorisés et d’outils basés sur des LLM.

Ci-dessous, nous expliquons comment chaque couche de notre moteur de détection joue un rôle essentiel dans l’arrêt du trafic frauduleux, qu’il s’agisse de bots, d’agents IA non autorisés, de crawlers LLM ou d’autres formes d’automatisation abusive.

 

Chaque couche de détection compte

Bots vérifiés & règles personnalisées

DataDome recherche les bots « utiles » vérifiés et applique toutes les règles personnalisées définies pour votre environnement. Cela donne de la flexibilité et aide à prévenir les faux positifs, afin que des bots légitimes comme Googlebot et Bingbot continuent de fonctionner sans interruption.

Détection basée sur les signatures

Les signatures de bots connues sont répertoriées et continuellement mises à jour. Le trafic entrant est comparé à cette liste et bloqué immédiatement si une correspondance est trouvée. Notre référentiel de signatures évolue constamment pour refléter les nouvelles menaces, ce qui garantit le blocage des bots dès la première requête.

Apprentissage supervisé

Les modèles d’apprentissage supervisé complètent l’analyse comportementale en utilisant des données labellisées pour reconnaître et s’adapter aux schémas de bots connus (et inconnus) ainsi qu’à leurs variantes. Les modèles supervisés s’appliquent généralement aux empreintes et au contexte d’une requête, plutôt qu’aux seuls signaux comportementaux. Ces modèles sont particulièrement efficaces pour identifier les signaux de fraude liés aux account takeovers, aux fausses inscriptions et aux tentatives répétées d’abus provenant d’infrastructures de bots connues.

Il est important de noter que DataDome collecte ces signaux dans le respect de la confidentialité ; nous ne capturons jamais de données personnelles ni ne suivons les utilisateurs individuellement. La protection de la vie privée est un principe fondamental de notre approche.

Algorithmes génétiques

Notre moteur de détection utilise des algorithmes génétiques pour faire évoluer de manière autonome de nouvelles logiques de détection. Inspirée des mutations de l’ADN, cette technique génère et teste des combinaisons de prédicats de règles en fonction de leur efficacité, mesurée via les séries temporelles du trafic bloqué. Elle nous permet d’étendre notre détection basée sur les signatures de façon totalement non supervisée.

Analyse comportementale

L’analyse comportementale de DataDome va au-delà du simple suivi des mouvements : elle est conçue pour comprendre l’intention. Nos modèles surveillent deux types de schémas comportementaux : la manière dont l’utilisateur interagit avec l’appareil (mouvements de souris, points de contact, frappes clavier, défilement, etc.) et la façon dont il navigue sur le site ou l’application.

En analysant ces comportements dans leur contexte, notre système distingue non seulement les bots des humains, mais aussi l’intention malveillante de l’activité légitime. Cette approche basée sur l’intention est particulièrement importante à l’ère des agents d’IA et des crawlers LLM, où le trafic peut sembler humain mais représenter un risque. Elle nous permet d’appliquer la bonne logique décisionnelle sans perturber l’automatisation légitime.

Analyse de séries temporelles

L’analyse de séries temporelles fournit des informations sur les schémas de trafic dans le temps, essentielles pour détecter de nouvelles signatures de bots. Une fois ces signatures identifiées, elles peuvent être intégrées à la détection basée sur les signatures, plutôt que comportementale.

Détection d’anomalies

La détection d’anomalies est essentielle pour identifier les comportements inhabituels qui s’écartent des schémas établis, un outil vital pour détecter le trafic de bots malveillants. Le moteur comportemental de DataDome s’appuie sur Flink pour analyser l’activité des utilisateurs en temps réel. Il agrège et analyse le trafic par IP, session et empreinte, ce qui permet de détecter des comportements anormaux à différents niveaux, même si l’attaquant adapte ses méthodes.

Pour intercepter les bots fortement distribués, nous appliquons également une détection des valeurs aberrantes à l’échelle du trafic global du site. Cela nous permet de comprendre quand la distribution globale du trafic a changé et qu’un comportement anormal se produit. Une fois détecté, nous pouvons déclencher des modèles d’IA plus spécifiques pour déterminer quelle partie du trafic est malveillante. Cette approche en couches nous donne aussi une visibilité sur le comportement des agents IA à grande échelle, afin de séparer l’automatisation utile de l’activité IA non autorisée ou malveillante.

Inférence en temps réel & explicabilité

L’inférence en temps réel garantit que les menaces sont identifiées et traitées instantanément, un élément crucial pour maintenir des opérations en ligne ininterrompues. De plus, la capacité d’explicabilité des modèles d’IA de DataDome fournit une compréhension claire des raisons pour lesquelles certains trafics sont signalés comme malveillants. Cela favorise la transparence et l’amélioration continue des stratégies de défense.

DataDome, votre bouclier contre les bots et la fraude en ligne

L’intégration par DataDome de diverses techniques d’apprentissage automatique, enrichies par le traitement en temps réel, l’explicabilité et la détection avancée des anomalies, le place à l’avant-garde de la détection des bots et de la prévention de la fraude en ligne. Sa capacité à apprendre en continu, à s’adapter et à prédire avec précision le comportement des bots offre aux entreprises un véritable bouclier contre les menaces actuelles et futures.

Alors que de nouvelles méthodes d’attaque et de nouveaux cas d’usage apparaissent, nous continuons à développer et à déployer des modèles d’IA supplémentaires pour garantir que notre détection garde une longueur d’avance.

Vous voulez savoir quels bots pourraient attaquer votre entreprise ? Notre Vulnerability Scan gratuit peut identifier les bots de base qui utilisent des vecteurs d’attaque courants auxquels votre entreprise peut être vulnérable. Pour identifier des bots plus avancés, essayez gratuitement DataDome ou réservez une démonstration en direct dès aujourd’hui.

 

DataDome
Jerome Segura
VP of Threat Research
Jérôme Segura est un chercheur en sécurité reconnu, qui s'intéresse particulièrement à l'analyse des malwares et à l'évolution constante des menaces, notamment grâce à sa connaissance approfondie du malvertising. Fort de nombreuses années d'expérience dans le domaine de la cybersécurité, il a fait ses preuves dans l'identification des vecteurs d'attaque émergents. Son expertise consiste à mettre au jour les mécanismes qui sous-tendent les attaques en ligne et à traduire des conclusions complexes en connaissances pratiques, fournissant ainsi des renseignements exploitables pour aider à protéger les particuliers et les organisations contre les acteurs malveillants. Son travail consiste souvent à disséquer des cyberattaques complexes et à partager ses conclusions afin de contribuer à un paysage numérique plus sûr.

Articles liés