Le problème des bots sur le web ne s’améliore pas : conclusions du rapport mondial sur la sécurité des bots 2025
DataDome a pour mission de débarrasser le web du trafic frauduleux. Le Rapport mondial sur la sécurité des bots est l’un des moyens par lesquels nous travaillons à cet objectif, en fournissant des informations factuelles sur la manière dont les sites web se défendent contre les menaces automatisées dans le monde entier.
Pour l’édition 2025, nous avons utilisé notre Scan de vulnérabilité pour analyser environ 17 000 sites web populaires et mesurer leur résilience face aux formes courantes d’automatisation. Cette année, nous avons également élargi le périmètre pour évaluer comment les robots d’indexation d’IA interagissent avec les sites de nos clients, ainsi que le défi croissant pour les entreprises soucieuses d’éviter le scraping à grande échelle et la perte de contenu propriétaire.
Les résultats révèlent non seulement les tendances clés, mais mettent également en évidence des failles critiques de protection, offrant ainsi une vision plus claire de l’évolution des bots, de la cyberfraude et des menaces alimentées par l’IA. Malheureusement, de nombreuses conclusions de cette année confirment une inquiétude persistante : la majorité des sites web sont encore incapables de bloquer les attaques automatisées les plus simples.
Cette exposition généralisée à des bots même très simples signifie que les entreprises sont extrêmement vulnérables aux attaques de bots beaucoup plus sophistiquées et alimentées par l’IA que nous observons en 2025. Les agents d’IA réécrivent les règles de l’engagement et de la fraude en ligne. Les défenses traditionnelles, conçues pour détecter l’automatisation statique, s’effondrent face à cette complexité. Et il ne s’agit pas seulement d’empêcher la fraude. Il s’agit également de maximiser les opportunités cachées dans le trafic IA tout en se protégeant contre les menaces qu’il représente. La sécurité doit désormais fonctionner à la vitesse de l’IA, avec une détection suffisamment intelligente pour distinguer un agent IA malveillant d’un agent IA légitime.
Principales conclusions du rapport 2025
En testant près de 17 000 domaines populaires avec le DataDome Vulnerability Scan, nous avons constaté que la majorité des sites restent vulnérables aux attaques de bots. Dans de nombreux cas, les taux de vulnérabilité se sont même aggravés depuis 2024.
La plupart des sites échouent encore à détecter et bloquer les bots simples. En 2025, 61,2 % des plus de 16 900 sites testés n’étaient pas protégés, 36 % l’étaient partiellement, et seulement 2,8 % étaient entièrement protégés. Cela signifie que 3 domaines sur 5 restent complètement vulnérables aux attaques de bots simples.
Le taux de protection complète s’est détérioré depuis 2024. Comparé à 2024, le pourcentage de sites entièrement protégés a fortement chuté, passant de 8,4 % en 2024 à 2,8 % en 2025. Cependant, le nombre de domaines partiellement protégés a augmenté (26,4 % en 2024 et désormais 36 % en 2025). La protection partielle signifie qu’au moins un type de bot a été détecté, mais pas tous.
Les bots pilotés par IA ciblent désormais fréquemment les points de contact à forte valeur. En 2025, 64 % du trafic des bots IA a touché des formulaires, 23 % des pages de connexion et 5 % des flux de paiement, ce qui introduit de nouveaux risques de fraude, de conformité et de sécurité. L’essor de l’IA agentique et des LLM rend indispensable l’évaluation des intentions, car tout le trafic IA n’est pas malveillant. Le modèle obsolète « bot ou pas bot » n’est plus applicable.
Le trafic des crawlers LLM a fortement augmenté. Le trafic des crawlers LLM (ou robots d’indexation) a été multiplié par plus de 4 entre janvier et août 2025 au sein de la base de clients DataDome. Le GPTBot d’OpenAI à lui seul a généré plus de 1,7 milliard de requêtes vers les sites clients de DataDome en août 2025.
Les entreprises commencent à bloquer les crawlers IA. 88,9 % des fichiers robots.txt de notre ensemble de données interdisent explicitement GPTBot, ce qui en fait de loin le robot d’indexation d’IA le plus référencé. Cela illustre une tendance générale : les entreprises bloquent de plus en plus le trafic IA face aux préoccupations croissantes concernant le vol de contenu et l’utilisation abusive des données.
Les secteurs à haut risque restent exposés. En 2025, les secteurs les plus vulnérables étaient ceux des administrations publiques, des organisations à but non lucratif et des télécommunications, qui affichaient les niveaux de protection contre les bots les plus faibles. En revanche, les secteurs du voyage et de l’hôtellerie, des jeux d’argent et de l’immobilier arrivaient en tête avec les taux combinés les plus élevés de protection totale et partielle.
Les outils de protection contre les bots proposés par les fournisseurs populaires sont incohérents. Chez les fournisseurs largement utilisés, les taux de détection de nos bots de test variaient de seulement 6 % à 42 %, ce qui révèle d’importantes lacunes dans l’efficacité réelle, même chez les prestataires revendiquant la lutte contre les bots comme compétence clé. (DataDome a été exclu de cette comparaison.)
Les sites les plus visités sont parmi les moins protégés. Seuls 2 % des domaines avec plus de 30 millions de visites mensuelles étaient entièrement protégés. Cela suggère que la taille seule ne garantit pas une meilleure protection.
Plus grand ne signifie pas plus sûr. Même parmi les plus grandes organisations (10 001 employés et plus), seulement 2,2 % de leurs domaines étaient entièrement protégés, et 61 % étaient non protégés.
Certains bots sont beaucoup plus difficiles à détecter que d’autres. La détection est restée la plus faible pour les bots avancés anti-fingerprinting, qui n’ont été bloqués que par ~7 % des cibles — laissant la plupart des organisations très vulnérables aux account takeover, carding et attaques avancées de scraping. Les bots Fake Chrome et Curl n’ont été détectés que 21 % du temps, tandis que 79 % ont contourné les défenses.
Lire le rapport complet
Le Global Bot Security Report 2025 complet est désormais disponible ! Il offre une analyse approfondie de ces tendances et des stratégies à adopter pour rester dans la course. Obtenez votre exemplaire gratuit dès aujourd’hui.