Rapport sur le trafic lié à l’IA : volume élevé, faible visibilité et risque croissant
Les agents IA ne sont plus qu’une préoccupation pour l’avenir. Ils explorent, indexent et interagissent avec les sites web à une échelle que la plupart des organisations n’ont pas encore pleinement enregistrée. Depuis le début de 2026, le réseau de DataDome a traité près de 8 milliards de requêtes d’agents IA. Le trafic ne ralentit pas ; ce qui change, c’est sa complexité.
Ce rapport s’appuie sur les données du réseau de DataDome, extraites de 5 000 milliards de signaux analysés quotidiennement chez plus de 400 entreprises, pour examiner l’état du trafic des agents IA au début de 2026 : d’où il provient, dans quelle mesure il peut être fiable, et pourquoi le volume seul est un mauvais indicateur de valeur.
Principales conclusions
- Le réseau de DataDome a enregistré 7,9 milliards de requêtes d’agents IA en janvier et février 2026, soit une augmentation de 5 % par rapport au trimestre précédent.
- Des noms d’agents connus et de confiance sont activement utilisés comme couverture. Meta-ExternalAgent a été le plus usurpé, suivi par ChatGPT-User. PerplexityBot a eu le taux d’usurpation le plus élevé en février 2026.
- Les secteurs qui voient le plus de trafic de navigateurs agentiques sont ceux aux données transactionnelles les plus précieuses : e-commerce et vente au détail (environ 20 % du volume), immobilier (17 %) et voyages et tourisme (15 %).
- Meta ExternalAgent représentait près de 25 % du trafic des principaux agents IA sur le réseau de DataDome en février 2026. ChatGPT-User suivait avec 19,1 %, et Meta WebIndexer avec 14,3 %.
Volume & valeur du trafic des agents d’IA
Leur volume est déjà significatif. Le réseau de DataDome a enregistré 7,9 milliards de requêtes d’agents IA en janvier et février 2026, soit une augmentation de 5 % depuis le quatrième trimestre 2025. Pour toute organisation gérant un site web à grande échelle, ce n’est pas un trafic marginal. Pour un de nos clients, le trafic agentique représentait en moyenne 9,75 % du trafic total sur une période de 30 jours. Les agents IA représentent désormais une part constante et croissante des requêtes totales à travers le e-commerce, les médias, les services financiers, et au-delà.

Le volume est différent de la valeur. Tout le trafic des agents IA ne sert pas le même objectif, et ce serait une erreur de le traiter comme une seule et même catégorie.
Meta ExternalAgent représentait près de 25 % du trafic des principaux agents IA sur le réseau de DataDome en février 2026. ChatGPT-User suivait avec 19,1 %, et Meta WebIndexer avec 14,3 %.

Mais le volume ne raconte qu’une partie de l’histoire. Meta WebIndexer et MetaExternal Agent sont conçus pour des objectifs fondamentalement différents. Meta WebIndexer se concentre sur l’amélioration de la pertinence des recherches pilotées par l’IA, ce qui offre une valeur potentielle de référencement pour les éditeurs. Meta ExternalAgent est orienté vers la collecte de données à grande échelle pour l’entraînement des modèles IA, sans bénéfice de trafic pour les sites qu’il visite. Deux agents de la même entreprise, apparaissant en volumes similaires, avec des implications très différentes pour les propriétaires de sites.
Sans la capacité de les distinguer, les organisations ne peuvent pas prendre de décisions éclairées sur l’un ou l’autre.

L’essor de l’usurpation des agents IA
Vous ne pouvez pas faire confiance aux agents IA pour ce qu’ils prétendent être. L’un des plus grands obstacles à la gestion du trafic des agents IA est l’identification. Selon les conclusions de DataDome incluses dans le Rapport sur l’avenir de la recherche et de la découverte, 80 % des agents IA ne s’identifient pas correctement, et 80 % des sites ne vérifient pas l’identité des agents. Cet écart crée un problème fondamental de visibilité. Sans identification précise, les sites ne peuvent pas faire la distinction entre un indexeur légitime, un collecteur de données d’entraînement et un acteur malveillant qui utilise une chaîne d’agent usurpée pour éviter la détection.
Les données du réseau de DataDome renforcent ce point. Les identités d’agents bien connues et largement fiables sont activement utilisées comme couverture. Meta-externalagent a été le plus usurpé, avec 16,4 millions de requêtes usurpées, suivi par ChatGPT-User avec 7,9 millions. Perplexity a eu le taux d’usurpation le plus élevé, avec près de 2,4 % des requêtes prétendant être PerplexityBot mais en fait frauduleuses.
L’exposition à l’extrémité réceptrice est tout aussi significative. En utilisant un ensemble de données externes, Galileo, l’équipe de recherche sur les menaces de DataDome, a testé comment environ 700 000 des sites les plus visités au monde répondent aux requêtes d’agents IA usurpées. La majorité a renvoyé un statut “200 OK”, accordant un accès complet sans indication que la requête était traitée différemment du trafic humain. Les grandes plateformes de e-commerce étaient largement ouvertes.
Pour la plupart des sites, une chaîne d’agent usurpée est effectivement un laissez-passer gratuit.
L’essor des navigateurs agentiques
Les navigateurs agentiques sont un vecteur nouveau et sous-estimé. Au-delà des crawlers traditionnels, les navigateurs agentiques génèrent désormais un trafic significatif dans un large éventail d’industries. Ces outils simulent des sessions de navigateur complètes, exécutent du JavaScript et interagissent avec les pages de manière plus difficile à détecter et à distinguer des vrais utilisateurs.
Les données de DataDome de février 2026 montrent que ce trafic est concentré dans le e-commerce et la vente au détail (environ 20 % du volume), l’immobilier (17 %), les voyages et le tourisme (15 %), avec une exposition supplémentaire dans les petites annonces, la billetterie et la finance.
Les industries voyant le plus de trafic de navigateurs agentiques sont celles qui possèdent les données transactionnelles les plus précieuses.

Implications & risques
- Le trafic invisible est un trafic non géré. Les organisations qui ne peuvent pas identifier avec précision le trafic des agents IA ne peuvent pas décider s’il faut le bloquer, le limiter, le monétiser ou le mettre sur liste blanche.
- Les agents usurpés exploitent la confiance. Les sites qui mettent sur liste blanche les crawlers IA connus par chaîne d’agent utilisateur sont exposés. Par exemple, si un acteur malveillant utilise PerplexityBot ou ChatGPT-User comme couverture, cette liste blanche devient une surface d’attaque.
- Les navigateurs agentiques augmentent la barre de détection. Parce que ces outils simulent un comportement complet de navigateur, l’analyse du trafic qui repose sur des signaux de bot simples ne les détectera pas. La détection nécessite une analyse comportementale qui prend en compte les modèles de session, le timing et les signatures d’interaction.
- Les agents à fort volume ne sont pas nécessairement des agents à forte valeur. Sans classification au niveau des agents, les propriétaires de sites n’ont aucun moyen de peser le coût du trafic des agents IA par rapport à tout bénéfice qu’il apporte. Les agents axés sur la collecte de données consomment des ressources sans retour.
Recommandations
- Obtenez de la visibilité avant de définir une politique. La journalisation et la classification du trafic des agents IA par type d’agent, objectif et comportement est le préalable à tout le reste. Vous ne pouvez pas prendre de décisions éclairées sur un trafic que vous ne pouvez pas voir clairement.
- Ne vous fiez pas uniquement aux chaînes d’agent utilisateur. Les listes de blocage et de mise sur liste blanche basées uniquement sur les valeurs d’agent utilisateur sont peu fiables. Les signaux comportementaux doivent compléter les revendications d’identité.
- Traitez la classification des agents comme une pratique continue. L’écosystème des agents IA évolue rapidement. De nouveaux agents apparaissent régulièrement, et les existants changent de comportement. Les évaluations ponctuelles deviennent rapidement obsolètes.
- Établissez un cadre d’accès par niveaux. Différents agents méritent un traitement différent. Les agents qui améliorent la visibilité dans les recherches peuvent mériter un accès. Les agents axés sur la collecte de données en vrac peuvent ne pas le mériter. Une politique par niveaux basée sur l’objectif et le comportement des agents donne aux organisations plus de contrôle sur ce qu’elles donnent gratuitement.
Conclusion
Le trafic des agents IA n’est pas théorique, et il n’est pas simple. Des milliards de requêtes atteignent les sites chaque mois, provenant d’agents avec des identités différentes, des objectifs différents et des degrés de transparence variables quant à qui ils sont. Les organisations les mieux placées pour gérer cela sont celles qui peuvent réellement le voir clairement. Pour l’instant, la plupart ne le peuvent pas.
Effectuez dès aujourd’hui le scan de vulnérabilité gratuit de DataDome pour vous assurer que votre site est correctement protégé contre les agents IA et les bots malveillants.