Le site web que voient les utilisateurs chaque jour ne consiste plus principalement en des personnes naviguant, lisant des actualités, achetant ou consultant des services en ligne. Selon l’Rapport Bad Bot Report 2026 de Thales, en 2025, les bots ont représenté 53 % de l’ensemble du trafic web observé à l’échelle mondiale, contre 47 % pour l’activité humaine. Ce chiffre confirme une évolution profonde : Internet est devenu un espace où l’automatisation pèse désormais plus que l’intervention humaine.
Ce qui est le plus préoccupant, ce n’est pas seulement la présence accrue de bots, mais plutôt la nature de ces bots. Sur l’ensemble du trafic web, 40 % était constitué de bots malveillants, et 13 % de bots d’automatisation à usage benign, tels que les crawlers de moteurs de recherche, les outils de surveillance ou certains crawlers légitimes. En d’autres termes : la majorité de l’automatisation déjà présente peut servir à extraire du contenu, tester des identifiants, abuser des API, saturer des services ou manipuler des processus commerciaux.
L’IA accélère le phénomène des bots
L’intelligence artificielle n’a pas inventé les bots, mais elle modifie leur ampleur et leur comportement. Thales indique que les attaques de bots alimentées par l’IA ont augmenté de 12,5 fois en 2025, avec en moyenne quotidienne 2 millions de requêtes bloquées passant à 25 millions. Sur toute l’année, la société affirme avoir bloqué 17,2 trillions de requêtes automatisées.
Ce qui change, c’est la capacité accrue des bots modernes à s’adapter. Ils peuvent modifier leur empreinte numérique, ajuster leur cadence d’interaction, faire évoluer leurs schémas de navigation, ou réessayer un service seulement quelques heures après une mesure de mitigation. Cela rend les défense classiques, telles que le blocage d’IP, le filtrage par user-agent ou l’application de limites de fréquence simples, de moins en moins efficaces.
De plus, le rapport introduit une troisième catégorie de trafic automatisé : les agents IA. Jusqu’à présent, beaucoup d’organisations différenciaient les bots “bons”, comme ceux des moteurs de recherche, des bots “mauvais”, tels que les scrapers, scalpers ou outils de credential stuffing. Les agents IA compliquent cette classification, car ils peuvent accéder à un site ou une API au nom d’un utilisateur, récupérer des informations, exécuter des tâches, ou réaliser des workflows. Ils ne sont pas forcément malveillants, mais ils ne peuvent être traités comme du trafic humain ordinaire.
Cette frontière floue oblige à repenser l’approche. La question n’est plus seulement de savoir si une requête provient d’un humain ou d’une machine. Ce qui compte vraiment, c’est ce que cette automatisation cherche à faire, avec quelle fréquence, contre quel endpoint, et quel impact sur le business.
| Indicateur du rapport Thales 2026 | Principaux chiffres |
|---|---|
| Trafic web généré par des bots | 53 % |
| Trafic web généré par des humains | 47 % |
| Trafic total attribué à des bots malveillants | 40 % |
| Trafic total attribué à des bots bénins | 13 % |
| Requêtes de bots bloquées en 2025 par Thales | 17,2 trillions |
| Croissance des attaques de bots par IA | 12,5 fois |
| Attaques de bots ciblant les API | 27 % |
| Attaques de bots contre le secteur financier | 24 % |
| Account Takeover dans la finance | 46 % |
Les API et l’identité deviennent de nouveaux fronts
Un changement majeur concerne les API. Thales estime que 27 % des attaques de bots ciblent directement ces points d’entrée. C’est une évolution logique : les applications modernes dépendent des API pour authentifier les utilisateurs, afficher les prix, gérer les paniers, traiter les paiements, vérifier la disponibilité ou fournir des données aux applications mobiles.
Pour un attaquant automatisé, l’API est souvent plus attractive que l’interface utilisateur. Il n’a pas besoin de “naviguer” comme le ferait un humain. Il peut envoyer des requêtes bien construites, utiliser des identifiants valides et exploiter la logique du service à la vitesse de machine. Techniquement, le trafic ne paraît pas toujours malveillant, car beaucoup de requêtes sont correctes. La véritable menace réside dans le volume, la répétition, l’intention ou le contexte.
Le rapport met en lumière trois menaces récurrentes contre les API : la fuite de données, l’abus de la logique métier, et les attaques techniques telles que l’exécution distante de code ou l’injection de fichiers. Concrètement, cela peut se traduire par un scraping massif, des requêtes automatisées de prix, la manipulation de promotions, des attaques sur les formulaires de connexion, des tests d’identifiants, ou encore l’exploitation des processus d’achat et de réservation.
La prise de contrôle des comptes, ou “Account Takeover”, reste une menace particulièrement lourde. Les bots testent des combinaisons d’identifiants volés, exploitent la réutilisation de mot de passe, et ciblent les endpoints d’authentification. Même avec la MFA, beaucoup d’entreprises restent vulnérables si elles ne surveillent pas les comportements suspects, sessions inhabituelles, changements géographiques soudains ou utilisation anormale des API d’identité.
Le secteur financier est le plus touché. Selon Thales, il concentre 24 % de toutes les attaques de bots et 46 % des incidents d’Account Takeover. La raison est claire : les comptes financiers ont une forte valeur pour la fraude, le vol d’identité, et la monetisation rapide. En Europe, un incident de ce type peut aussi entraîner des obligations réglementaires, notamment sous RGPD, DORA, NIS2 ou PSD2, surtout si des données personnelles ou la continuité des services sont concernées.
Les médias et contenus aussi sous pression
Le problème des bots ne se limite pas aux banques, e-commerces ou compagnies aériennes. Les médias et sites de contenu subissent eux aussi une pression croissante de la part des crawlers IA et des systèmes en temps réel de récupération d’informations.
Akamai a publié en avril 2026 un rapport dédié au secteur de l’édition, indiquant une croissance de 300 % de l’activité des bots IA en 2025. Dans ce trafic, le secteur médiatique représentait 13 %, et les éditeurs consentaient à eux seuls 40 % de cette activité dans la catégorie IA. L’impact n’est pas purement technique : selon Akamai, les chatbots IA ont généré au dernier trimestre 2024 environ 96 % de trafic de référence en moins par rapport aux recherches classiques sur Google.
Ce phénomène bouleverse l’équilibre économique d’Internet. Pendant des années, les moteurs de recherche ont parcouru, indexé et renvoyé du trafic vers les sites web. Avec l’essor des systèmes d’IA générative, certains contenus peuvent alimenter directement des réponses sans que l’utilisateur ne visite la source initiale. Pour un média digital, cela signifie une charge accrue, une consommation de contenu par des machines, et moins d’opportunités pour générer des revenus via la publicité, les abonnements ou la notoriété.
Cloudflare décrit ce phénomène comme un écart entre le crawling et la redirection du trafic. Selon eux, à la mi-2025, près de 80 % du trafic des bots IA provenait déjà du crawling pour l’entraînement. La société a aussi proposé des solutions comme Pay Per Crawl, un système en version bêta privée permettant aux propriétaires de contenu de choisir entre autoriser, bloquer ou faire payer certains crawlers pour accéder à leurs pages.
Ce concept est encore loin de résoudre durablement le problème. Faire payer les crawlers suppose une identification fiable, des accords commerciaux et une infrastructure technique fiable, que les grandes plateformes d’IA ne proposent pas encore. En attendant, beaucoup de sites, surtout les plus petites et moyennes, n’ont d’autres choix que d’autoriser le crawling sans retour précis ou de le bloquer de manière agressive, au risque de perdre en visibilité.
Ce que les entreprises doivent faire
Se défendre contre les bots ne se limite plus à déployer un WAF ou analyser les logs en cas de pic de trafic. Le rapport de Thales préconise un changement d’approche : passer d’une posture défensive ponctuelle à une gouvernance globale de l’automatisation.
Cela implique de définir quels agents IA peuvent accéder au site, quels crawlers doivent être bloqués, quels endpoints doivent être protégés ou isolés, et quelles limites imposer aux API, processus de connexion, paiements, moteurs de recherche internes ou formulaires. Tous les bots ne sont pas malveillants, mais tout trafic automatisé doit être identifié, mesuré et contrôlé.
Les entreprises doivent également protéger leur logique métier. Par exemple, dans le retail, un bot pourrait ajouter des produits au panier sans finaliser l’achat, pour créer une fausse rareté. Dans le secteur du voyage, il peut effectuer des recherches répétées sur les prix ou la disponibilité pour fausser les statistiques de demande et d’offre. Dans la finance, il peut tester des identifiants, exploiter des processus de récupération de compte ou cibler les API d’authentification.
Les signaux superficiels ne suffisent plus. Beaucoup de bots se présentent comme des navigateurs légitimes, utilisent des proxies résidentiels ou mobiles, exécutent du JavaScript, et simulent des comportements humains. Thales indique qu’en 2025, Chrome a été le navigateur le plus usurpé par des bots malveillants, avec 41 % du trafic déclarée comme Chrome. La détection doit inclure une analyse comportementale, la cohérence de la session, la réputation contextuelle, et une surveillance continue des modèles.
La conclusion est claire : le trafic automatisé fait désormais partie intégrante d’Internet. Il ne disparaîtra pas. La tâche des organisations est de distinguer l’automatisation utile de celle abusive, de protéger les API en tant qu’infrastructure critique, et de définir le rôle qu’elles souhaitent attribuer aux agents IA dans leurs services.
Pour les utilisateurs, cette évolution sera presque invisible, jusqu’à ce qu’un problème survienne : site qui ne charge pas correctement, boutique sans stock réel, compte bloqué, CAPTCHA incessants, ou médias qui cessent de publier parce que leur contenu sert d’alimentation à des systèmes externes sans retour adéquat. Mais pour les entreprises, le message est devenu urgent : internet est désormais majoritairement une machine face à une autre machine, et la sécurité doit s’adapter à cette nouvelle réalité.
Questions fréquentes
Quel pourcentage du trafic web est constitué de bots ?
Selon le Bad Bot Report 2026 de Thales, en 2025, les bots représentaient 53 % du trafic web global, contre 47 % pour l’activité humaine.
Les bots sont-ils tous malveillants ?
Non. Le rapport distingue entre bots malicieux, qui représentent 40 % du trafic total, et bots bénins, qui constituent 13 %. Toutefois, la majorité du trafic automatisé reste issue de bots malveillants.
Pourquoi l’IA aggrave-t-elle le problème ?
L’IA permet de créer des bots plus adaptatifs, capables de modifier leur comportement, d’imiter des schémas humains, de contourner des contrôles et d’ajuster leurs attaques en cas de blocage.
Quels secteurs sont les plus impactés par les bots ?
Les services financiers concentrent le plus grand volume d’attaques et près de la moitié des incidents d’Account Takeover. Le commerce de détail, le voyage, les médias, la technologie et les télécoms sont également fortement exposés.
