DataDome

Le rapport mondial 2025 de DataDome sur la sécurité face aux bots révèle la crise du trafic IA

Dernière mise à jour : 30 Sep, 2025
|
min

Les défenses traditionnelles s’effondrent alors que le trafic piloté par l’IA redéfinit le web ; seuls 2,8 % des plus de 16 900 domaines sont entièrement protégés.

NEW YORK – 30 septembre 2025 – DataDome, le leader de la protection contre la cyberfraude, a publié aujourd’hui son rapport mondial 2025 sur la sécurité face aux bots, une analyse approfondie de plus de 16 900 sites web dans 22 secteurs, qui examine la résilience des entreprises face aux menaces automatisées.

Les résultats révèlent une réalité frappante : l’IA est désormais la principale force qui façonne le trafic en ligne, et la plupart des entreprises restent dangereusement mal préparées à la gérer.

 

Le trafic généré par l’IA – qui va des robots d’indexation des grands modèles de langage (LLM) aux agents pilotés par IA – a atteint des niveaux sans précédent. En 2025, le trafic des bots et des crawlers IA a quadruplé dans la base de clients de DataDome, représentant désormais plus d’une requête vérifiée sur dix. Ce changement majeur signifie que les organisations doivent faire face à une nouvelle réalité : le trafic généré par l’IA n’est plus l’exception, mais la norme.

 

« Les agents d’IA réécrivent les règles de l’interaction en ligne », a déclaré Jérôme Segura, vice-président de la recherche sur les menaces chez DataDome. « Ils imitent le comportement humain, génèrent des navigateurs synthétiques, contournent les CAPTCHA et s’adaptent en temps réel. Les défenses traditionnelles, conçues pour détecter une automatisation statique, s’effondrent face à cette complexité. Les entreprises ne peuvent plus distinguer si le trafic IA qu’elles observent est bénéfique ou malveillant, ce qui les expose à la fois à la fraude et à la perte d’opportunités. Ce qu’il faut désormais, c’est une protection adaptative, fondée sur l’intention, capable de donner du sens à ce chaos piloté par l’IA en temps réel. »

 

Principaux constats :

  • Le trafic IA a explosé : le trafic des robots d’indexation des LLM a quadruplé dans la base de clients de DataDome en 2025, passant de 2,6 % du trafic de bots vérifié en janvier à plus de 10,1 % en août. DataDome a détecté à lui seul près de 1,7 milliard de requêtes provenant des crawlers d’OpenAI en un seul mois. Ces robots aspirent d’énormes quantités de contenu web, souvent sans consentement ni supervision, ce qui peut épuiser les ressources serveurs et exposer des données propriétaires.
  • Les entreprises réagissent, mais sans efficacité : 88,9 % des domaines interdisent GPTBot dans leurs fichiers robots.txt, mais cette mesure offre peu de protection réelle. Les crawlers et navigateurs pilotés par IA ignorent ces directives, et rendent ainsi les stratégies de blocage statiques obsolètes. Sans application active au-delà du robots.txt, les organisations risquent d’exposer leur contenu, leurs données et leurs infrastructures à la prochaine génération de menaces automatisées.
  • Les défenses héritées échouent rapidement : seuls 2,8 % des sites web étaient entièrement protégés en 2025, contre 8,4 % en 2024. La plupart des entreprises ne parviennent toujours pas à arrêter les bots basiques, et encore moins ceux pilotés par IA, capables d’adapter dynamiquement leur identité et leur comportement.
  • Les bots d’IA ciblent les points de contact à forte valeur : contrairement à l’automatisation classique, le trafic piloté par IA ne se limite pas au scraping. En 2025, 64 % du trafic des bots basés sur l’IA a atteint des formulaires, 23 % des pages de connexion et 5 % des flux de paiement, créant ainsi de nouveaux vecteurs de fraude, de piratage de comptes et de risques de non-conformité.
  • Le trafic IA est une arme à double tranchant : bien qu’une grande partie soit malveillante, certaines requêtes pilotées par IA correspondent à des usages légitimes. Sans la capacité de classer les intentions, les entreprises risquent soit de bloquer l’innovation, soit d’ouvrir la porte aux abus.
  • Les secteurs à haut risque restent sous-protégés. Les secteurs gouvernemental, à but non lucratif et des télécommunications ont bénéficié de la protection la plus faible. À l’inverse, le voyage & l’hospitalité, le jeu et l’immobilier présentaient les taux combinés les plus élevés de protection complète et partielle. Même parmi les secteurs les plus performants, la protection complète reste rare, et la protection partielle seule ne suffit pas à bloquer les bots sophistiqués.
  • La taille ne garantit pas une meilleure sécurité : seuls 2 % des domaines comptant plus de 30 millions de visites mensuelles étaient entièrement protégés. Même parmi les entreprises de plus de 10 001 employés, seulement 2,2 % bénéficiaient d’une protection complète, et 61 % étaient totalement non protégées.
  • Les bots avancés contournent la majorité des défenses : les bots anti-fingerprinting n’ont été bloqués que par environ 7 % des sites, laissant la plupart des entreprises très vulnérables aux attaques d’account takeover, de carding et de scraping avancé. Les bots Fake Chrome et Curl n’ont été détectés que 21 % du temps.
  • Les faibles défenses anti-bots sont un phénomène mondial : l‘Amérique latine comptait la plus forte proportion de sites web protégés, mais seulement 3,5 % d’entre eux étaient entièrement protégés et 38,5 % partiellement protégés, laissant près de 6 domaines sur 10 complètement exposés. L’Amérique du Nord et l’Europe affichaient des tendances similaires, avec plus de 60 % des sites dépourvus de toute protection anti-bot. La région Asie-Pacifique faisait encore pire, avec seulement 1,6 % de protection complète. Cette absence de variation régionale permet aux attaquants de réutiliser les mêmes outils à travers les marchés, réduisant les coûts et augmentant la portée des campagnes mondiales de cyberfraude.

Le rapport souligne que l’IA a définitivement transformé la structure d’internet. Les sites web ne se contentent plus d’affronter des humains ou des bots ; ils doivent désormais composer avec un spectre d’activités d’IA combinant automatisation et interaction humaine d’une manière que les outils traditionnels ne peuvent interpréter.

 

« Il ne s’agit plus seulement de stopper la fraude », ajoute Jérôme Segura. « Il s’agit de s’assurer que les entreprises ne passent pas à côté des opportunités dissimulées dans le trafic IA, tout en se défendant contre les menaces sophistiquées. La sécurité doit désormais fonctionner à la vitesse de l’IA. »

Pour consulter l’ensemble des résultats et des analyses du rapport mondial 2025 sur la sécurité face aux bots de DataDome, cliquez ici. Suivez DataDome sur YouTube et LinkedIn pour des mises à jour régulières sur la recherche sur les menaces, des études de cas clients, et pour vous assurer que votre protection contre les bots est prête à faire face aux attaques les plus sophistiquées.