Comment la montée en puissance du trafic IA redéfinit la confiance numérique en 2025
Le Global Bot Security Report 2025 de DataDome révèle un changement radical dans la façon dont l’automatisation et l’essor du trafic IA façonnent le web. Pour la première fois, le rapport consacre une section entière au trafic piloté par l’IA et son impact sur la sécurité en ligne.
Chaque année, DataDome teste des milliers des sites web les plus visités au monde pour comprendre comment ils résistent aux attaques automatisées. L’analyse de cette année a couvert près de 17 000 domaines à travers les secteurs et les régions. Mais pour 2025, nos chercheurs ont également ajouté une nouveauté.
La croissance rapide des crawlers de grands modèles de langage (LLM) et de l’IA agentique a introduit une nouvelle classe de menaces automatisées. Pour refléter cette évolution, nous avons ajouté deux méthodologies de test supplémentaires à l’analyse de cette année :
- l’examen des directives robots.txt pour tous les domaines testés, afin d’évaluer comment les sites gèrent le trafic IA comme GPTBot, CCBot, et les agents ChatGPT-User ;
- l’analyse distincte du trafic anonymisé à travers la base de clients de DataDome (un échantillon différent des 17 000 domaines testés), qui fournit un aperçu des bots IA visitant les sites web des clients et des points de terminaison qui reçoivent le plus de trafic IA.
Les entreprises bloquent les robots d’indexation IA
Notre recherche a révélé que 88,9 % des fichiers robots.txt dans notre ensemble de données interdisent explicitement GPTBot, ce qui en fait de loin le crawler IA le plus référencé. Cela indique une tendance plus large : les entreprises bloquent de plus en plus le trafic IA en raison de préoccupations croissantes concernant le vol de contenu et l’utilisation abusive des données.
Malheureusement, les directives robots.txt ne protègent pas de manière fiable contre le trafic indésirable généré par l’IA. Bien que robots.txt soit conçu pour guider les robots d’indexation conformes, ce n’est pas un mécanisme de sécurité. Les LLM et les crawlers IA peuvent facilement ignorer ou contourner ces directives.
Lors de notre analyse, nous avons constaté que :
- 6 % des sites web ont répondu aux requêtes robots.txt par un défi CAPTCHA, ce qui indique des tentatives de protéger l’accès à ce fichier même s’il est explicitement conçu pour être accessible publiquement aux bots ;
- un grand nombre de sites avaient des erreurs de syntaxe ou des fichiers robots.txt mal formés, ce qui peut entraîner des autorisations d’accès non intentionnelles ou des contrôles inefficaces.
Pris ensemble, ces résultats soulignent la complexité croissante de la gestion du trafic généré par l’IA et les limites de la dépendance exclusive à des approches basées sur des protocoles comme robots.txt.
Trafic IA : du crawling à l’action
Dans le réseau mondial de clients de DataDome, le trafic piloté par l’IA a plus que quadruplé au cours des huit premiers mois de 2025, passant de 2,6 % du trafic de bots vérifiés en janvier à plus de 10 % en août. Ce même mois, DataDome a détecté 1,7 milliard de requêtes provenant uniquement des crawlers d’OpenAI, y compris les agents GPTBot et ChatGPT-User.
Les crawlers des LLM et les agents d’IA balayent le web pour recueillir des données d’entraînement et exécuter des actions pilotées par les utilisateurs, de la navigation et la synthèse de contenu à l’interaction avec les formulaires et les flux de paiement. Le trafic IA n’indexe plus seulement le contenu ; il interagit avec des points de terminaison critiques pour les entreprises. Dans notre ensemble de données :
- 64 % du trafic de bots IA a atteint des formulaires ;
- 23 % ont atteint des pages de connexion ;
- 5 % ont interagi avec des flux de paiement.
Ces interactions, souvent effectuées sans le consentement du propriétaire du site web ou sans contrôles de sécurité appropriés, introduisent de nouveaux risques liés au vol de données, à la fraude et à la conformité.
L’essor de l’IA agentique et ses implications pour la fraude et la sécurité en ligne
L’IA agentique fait référence à des systèmes autonomes capables de raisonner, planifier et agir en ligne. Ces outils sont désormais utilisés par les attaquants pour simuler des utilisateurs humains, contourner les CAPTCHA et s’adapter en temps réel. Même les acteurs malveillants peu qualifiés peuvent déployer ces bots augmentés par l’IA grâce à des kits préconfigurés disponibles sur les marchés clandestins.
Les recherches de DataDome montrent que l’IA démocratise la sophistication, permettant à presque tout le monde de mener des campagnes de fraude très efficaces. Alors que l’IA brouille la ligne entre l’automatisation utile et l’exploitation malveillante, le rapport de DataDome plaide pour un changement de paradigme dans la détection. La question n’est plus « Est-ce un bot ou un humain ? » mais « Quelle est l’intention derrière cette action ? »
La détection basée sur l’intention, alimentée par l’analyse comportementale en temps réel, devient la nouvelle norme pour protéger les écosystèmes numériques des menaces traditionnelles et améliorées par l’IA.
Téléchargez le rapport complet
Les résultats sur l’IA ne sont qu’une partie du Rapport mondial sur la sécurité des bots 2025, qui révèle également :
- que seuls 2,8 % des sites web mondiaux sont entièrement protégés contre les bots (en baisse par rapport à 8,4 % l’année dernière) ;
- quels secteurs sont les plus exposés à la fraude automatisée ;
- pourquoi les fournisseurs de solutions de lutte contre les bots montrent des lacunes massives dans la performance réelle.
Téléchargez le rapport complet pour découvrir comment les menaces de bots évoluent et comment votre organisation peut garder une longueur d’avance à l’ère de l’automatisation pilotée par l’IA.