Résumé exécutif
Un basculement fondamental s'est produit en 2024 : pour la première fois en une décennie, le trafic automatisé de bots a dépassé l'activité humaine sur internet. Les bots génèrent désormais 51 % de tout le trafic web, reléguant les utilisateurs humains au statut de minorité en ligne. Ce n'est pas une tendance graduelle — c'est un franchissement de seuil qui redéfinit la façon dont les organisations doivent penser le trafic web, les coûts d'infrastructure et la posture de sécurité.
L'accélération est portée par l'intelligence artificielle. Les grands modèles de langage ont démocratisé la création de bots, permettant à des attaquants aux compétences techniques minimales de déployer une automatisation sophistiquée à grande échelle. Le trafic de bots alimenté par IA a bondi de 300 % en glissement annuel, les bots malveillants passant spécifiquement de 32 % à 37 % de tout le trafic — la sixième année consécutive d'augmentation. Pendant ce temps, les crawlers d'entraînement IA d'OpenAI, d'Anthropic et de Meta consomment des volumes sans précédent de contenu web, altérant fondamentalement la relation entre créateurs de contenu et plateformes d'IA.
Les implications métier sont immédiates et mesurables. La fraude par prise de contrôle de compte a causé 13 milliards de dollars de pertes en 2023. Le web scraping érode jusqu'à 14,7 % des revenus annuels des entreprises affectées. Les coûts d'infrastructure gonflent à mesure que les serveurs traitent des millions de requêtes illégitimes. Pour les équipes sécurité, le défi n'est plus de distinguer le bon trafic du mauvais — c'est d'opérer dans un environnement où les visiteurs humains légitimes sont réellement minoritaires.
Paysage des bots en 2025 : chiffres clés
Le trafic de bots a dépassé l'activité humaine pour la première fois en une décennie
Rapport Imperva Bad Bot 2025Bots malveillants en part du trafic internet total, en hausse depuis 32 % en 2023
ImpervaRequêtes de bots malveillants bloquées par le réseau global Imperva en 2024
ImpervaComposition du trafic web : 2023 vs 2024
| Type de trafic | 2023 | 2024 | Évolution | Implication |
|---|---|---|---|---|
| Trafic humain | 52,6 % | 49 % | -3,6 % | Les humains désormais minoritaires parmi les visiteurs web |
| Bots malveillants | 32 % | 37 % | +5 % | Sixième année consécutive de croissance |
| Bons bots | 15,4 % | 14 % | -1,4 % | Crawlers de recherche, moniteurs, etc. |
| Total automatisé | 47,4 % | 51 % | +3,6 % | Seuil franchi en 2024 |
L'IA : le multiplicateur derrière la croissance des bots
L'intelligence artificielle a transformé le paysage des bots de deux manières distinctes. Premièrement, l'IA générative et les plateformes Bots-as-a-Service ont éliminé les barrières techniques au lancement d'attaques de bots. Ce qui exigeait autrefois des compétences de programmation spécialisées ne nécessite désormais qu'un abonnement et des capacités de prompt de base. Résultat : les attaques de bots simples sont passées de 40 % à 45 % de tout le trafic de bots à mesure que de nouveaux attaquants moins sophistiqués entrent sur le marché.
Deuxièmement, l'IA a considérablement amélioré l'efficacité des bots. Le machine learning permet aux bots d'imiter les schémas de comportement humain, de résoudre les CAPTCHA et de s'adapter aux mesures défensives en temps réel. Les bots avancés représentent désormais les 55 % restants des attaques, et leur sophistication continue d'augmenter. Le bot ByteSpider à lui seul — associé à la maison mère de TikTok, ByteDance — a été responsable de 54 % de toutes les attaques alimentées par IA, suivi par AppleBot (26 %), ClaudeBot (13 %) et ChatGPT User Bot (6 %).
L'économie favorise les attaquants. Un seul opérateur peut désormais déployer et gérer une infrastructure de bots qui aurait nécessité une équipe de développeurs il y a seulement trois ans. Le retour sur investissement des opérations de credential stuffing, de scalping et de scraping n'a jamais été aussi élevé, ce qui explique la croissance implacable malgré l'amélioration des technologies défensives.
Évolution de la part de marché des crawlers IA
| Crawler | Juillet 2024 | Juillet 2025 | Évolution | Finalité principale |
|---|---|---|---|---|
| Googlebot | 39 % | 39 % | — | Indexation de recherche |
| GPTBot (OpenAI) | 4,7 % | 11,7 % | +7 % | Entraînement IA |
| ClaudeBot (Anthropic) | 6,0 % | 9,9 % | +3,9 % | Entraînement IA |
| Meta-ExternalAgent | 0,9 % | 7,5 % | +6,6 % | Entraînement IA |
| Amazonbot | 10,2 % | 5,9 % | -4,3 % | Services Alexa/AWS |
| Bytespider (ByteDance) | 14,1 % | 2,4 % | -11,7 % | Entraînement IA/TikTok |
Les entreprises d'IA consomment beaucoup plus de contenu qu'elles n'en renvoient en trafic de référence. Les crawlers d'Anthropic visitent 38 000 à 286 000 pages pour chaque visiteur qu'ils renvoient aux éditeurs. Le ratio d'OpenAI se situe autour de 1 000:1. Cette asymétrie signifie que les créateurs de contenu portent le coût d'infrastructure de l'entraînement IA tout en recevant un bénéfice de trafic minimal. Le trafic de référence Google vers les sites d'actualités a chuté de 15 % de janvier à avril 2025 — coïncidant avec l'expansion des résumés de recherche générés par IA qui réduisent les clics vers les sources originales.
Répartition des finalités des crawlers IA
Activité de crawling IA dédiée à l'entraînement de modèles (en hausse depuis 72 % en 2024)
CloudflareCrawling pour des fonctionnalités de recherche alimentées par IA
CloudflareAnalyse du trafic de bots par secteur
| Secteur | Trafic de bots malveillants | Part des attaques | Type d'attaque principal | Niveau de risque |
|---|---|---|---|---|
| Voyage | 48 % | 27 % | Scraping de tarifs, fausses réservations | Critique |
| Retail | 59 % | 15 % | Scraping de prix, scalping | Critique |
| Services financiers | 28 % | 22 % (ATO) | Prise de contrôle de compte, fraude | Critique |
| Télécoms et FAI | 24 % | 18 % (ATO) | Prise de contrôle de compte | Élevé |
| Informatique et IT | 22 % | 17 % (ATO) | Credential stuffing | Élevé |
| Santé | 18 % | 8 % | Scraping de données, fraude | Élevé |
| Gaming | 35 % | 12 % | Triche, vol de compte | Élevé |
Le secteur du voyage a connu un basculement dramatique en 2024, devenant l'industrie la plus attaquée avec 27 % de toutes les attaques de bots (en hausse depuis 21 % en 2023). Près de la moitié du trafic des sites de voyage — 48 % — est constituée de bots malveillants, contre seulement 47 % de visiteurs humains et 5 % de bots bénéfiques. Les attaques simples sont passées de 34 % à 55 % de l'activité de bots ciblant le voyage, indiquant un afflux de nouveaux attaquants moins sophistiqués exploitant le secteur. Le scraping de tarifs, la rétention d'inventaire et les attaques de fausses réservations impactent directement les revenus et l'expérience client.
Types d'attaques de bots malveillants et impact métier
Attaques automatisées qui itèrent à travers des combinaisons nom d'utilisateur-mot de passe volées, exploitant la réutilisation de mots de passe entre services. Les incidents de prise de contrôle de compte ont augmenté de 40 % en 2024, les services financiers supportant 22 % des attaques. Impact économique : 13 milliards de dollars de pertes pour fraude ATO en 2023 à elles seules, avec des pertes moyennes de 12 000 $ par incident pour les victimes. L'IA et le machine learning ont accéléré ces attaques en permettant la résolution de CAPTCHA en temps réel et l'imitation comportementale.
Extraction automatisée de contenu qui vole les données tarifaires, les informations produits et le contenu propriétaire. Pour les entreprises avec une tarification dynamique, le scraping fausse les signaux de demande et érode l'avantage concurrentiel. L'impact peut atteindre 14,7 % du chiffre d'affaires annuel du site web. Les scrapers d'IA ont généré plus de 120 millions de requêtes au T2 2025 à eux seuls, mettant l'infrastructure sous tension et déclenchant des événements d'auto-scaling coûteux.
Bots qui achètent les produits à forte demande plus vite que les clients humains, créant une rareté artificielle pour la revente. Au T2 2025, la revente de poupées Labubu pilotée par bots a entraîné des majorations de 25 à 127 %, avec seulement deux cook groups coordonnant 3 160 commandes automatisées. Pour les détaillants, les attaques de scalping représentent plus de 40 % des requêtes de paiement sur les produits à forte demande — quatre fois la moyenne du secteur.
44 % du trafic de bots avancés cible désormais les API plutôt que les interfaces web traditionnelles. Les API manquent souvent du même niveau de protection contre les bots que les applications web, ce qui en fait des cibles attrayantes. Les services financiers, les services aux entreprises, les télécoms et la santé représentent 75 % des attaques de bots ciblant les API. L'abus d'API permet l'exfiltration de données à grande échelle tout en échappant aux défenses traditionnelles axées sur le web.
Bots qui ajoutent des articles aux paniers sans finaliser les achats, rendant l'inventaire indisponible pour les clients légitimes. Combinées aux techniques de DDoS applicatif, ces attaques peuvent effectivement arrêter les opérations e-commerce sans déclencher les défenses DDoS traditionnelles. Résultat : ventes perdues, clients frustrés et réputation de marque entamée.
L'économie des attaques de bots
Perte annuelle maximale de revenus due aux attaques de scraping
Analyse sectorielleCadre de défense contre les bots en entreprise
Se défendre contre les attaques de bots modernes nécessite d'aller au-delà de la détection basée sur les signatures. Les bots alimentés par IA s'adaptent en temps réel, imitent le comportement humain et exploitent les proxys résidentiels pour paraître légitimes. Une défense efficace exige une approche multicouche combinant plusieurs méthodes de détection avec une analyse comportementale continue.
Mettre en œuvre l'analyse comportementale
Déployez une détection basée sur le ML qui analyse les mouvements de souris, les schémas de frappe et le comportement de navigation. Les règles statiques échouent face aux bots qui randomisent leurs signatures ; l'analyse comportementale identifie l'automatisation, quelle que soit la façon dont elle imite les attributs humains.
Protéger les API comme surface d'attaque principale
44 % des bots avancés ciblent les API. Mettez en œuvre un rate limiting spécifique aux API, une validation d'authentification et une détection d'anomalies. Surveillez les schémas inhabituels dans les séquences d'appels API, la consommation des réponses et la distribution géographique.
Déployer l'empreinte d'appareil
Collectez et analysez les attributs d'appareil, y compris la configuration du navigateur, les polices installées, le rendu canvas et les caractéristiques WebGL. Les utilisateurs légitimes affichent des empreintes cohérentes ; les bots présentent fréquemment des profils d'appareil impossibles ou changeant rapidement.
Défier les sessions suspectes
Mettez en œuvre des défis adaptatifs qui escaladent en fonction des signaux de risque. Commencez par des défis invisibles, progressez vers des CAPTCHA et bloquez finalement l'automatisation persistante. Les défis modernes doivent résister aux capacités de résolution alimentées par IA.
Surveiller l'utilisation des proxys résidentiels
Les bots sophistiqués routent à travers des adresses IP résidentielles pour échapper au blocage basé sur les IP. Détectez les schémas de proxy résidentiel via l'analyse du comportement de connexion, le scoring de réputation IP et les vérifications de cohérence géographique.
Établir des références de trafic et des alertes
Connaissez vos schémas de trafic normaux. Les attaques de bots se manifestent souvent par des pics de trafic soudains, des distributions géographiques inhabituelles ou des taux de conversion anormaux. Les alertes en temps réel permettent une réponse rapide avant que des dommages significatifs ne se produisent.
Capacités de gestion des bots de TR7
La plateforme de sécurité TR7 fournit une protection complète contre tout le spectre des menaces liées aux bots :
Détection alimentée par IA
Des modèles de machine learning entraînés sur des milliards de requêtes distinguent les utilisateurs légitimes des bots sophistiqués, y compris ceux utilisant l'IA pour imiter le comportement humain.
Empreinte avancée
L'empreinte d'appareil multicouche identifie l'automatisation même lorsque les bots usurpent les attributs du navigateur et tournent à travers des proxys résidentiels.
Protection des API
Sécurité d'API conçue à dessein qui détecte et bloque l'abus automatisé, les violations de rate limiting et les attaques de credential stuffing ciblant les services backend.
Analyse en temps réel
Visibilité complète sur la composition du trafic avec alertes instantanées lorsque l'activité de bots dépasse les seuils ou cible des points de terminaison critiques.
Défis adaptatifs
Système de défis basé sur le risque qui minimise la friction pour les utilisateurs légitimes tout en créant des barrières infranchissables pour le trafic automatisé.
Gestion des crawlers IA
Contrôle granulaire des crawlers d'entraînement IA avec la capacité d'autoriser, de limiter le débit ou de bloquer des bots spécifiques selon la politique organisationnelle.
Le seuil des 51 % n'est pas une fin — c'est un point d'inflexion. À mesure que les capacités d'IA progressent, le trafic de bots, tant légitime que malveillant, continuera de croître. Les organisations doivent s'attendre à ce que les bots représentent 60 % ou plus du trafic web d'ici deux ans. La réponse stratégique n'est pas de bloquer toute l'automatisation — ce n'est ni possible ni souhaitable — mais de construire des infrastructures et des modèles de sécurité qui supposent que les bots sont majoritaires et qui optimisent l'identification et le service efficace de la minorité humaine.
Questions fréquentes
Les bons bots servent des finalités légitimes : crawlers de moteurs de recherche indexant le contenu, services de surveillance vérifiant la disponibilité et agrégateurs collectant des données autorisées. Ils s'identifient généralement, respectent robots.txt et opèrent de manière transparente. Les bots malveillants se livrent à des activités malveillantes : credential stuffing, scraping de contenu, manipulation de prix et fraude. Ils déguisent leur identité, ignorent les restrictions d'accès et opèrent de manière dissimulée pour éviter la détection.
Les API reçoivent souvent moins d'attention en matière de sécurité que les applications web, bien qu'elles gèrent des données et des transactions sensibles. Elles sont conçues pour la communication machine à machine, ce qui rend le trafic de bots plus difficile à distinguer de l'utilisation légitime. Les API fournissent également un accès direct aux données sans naviguer dans des interfaces web, permettant une extraction de données plus rapide et plus efficace. En 2024, 44 % du trafic de bots avancés ciblait les API.
Les crawlers de recherche traditionnels comme Googlebot indexent le contenu pour servir des résultats de recherche, renvoyant du trafic aux éditeurs via des références. Les crawlers IA comme GPTBot et ClaudeBot consomment principalement le contenu pour l'entraînement de modèles, avec un retour de trafic minimal — le ratio d'exploration vers renvoi d'Anthropic dépasse 38 000:1. Cela crée un modèle d'extraction de valeur où les entreprises d'IA bénéficient du contenu sans rémunérer les éditeurs par le trafic.
Les CAPTCHA traditionnels sont de plus en plus inefficaces. Les bots alimentés par IA peuvent résoudre de nombreux types de CAPTCHA plus rapidement que les humains, et les services de résolution de CAPTCHA offrent des solutions automatisées à grande échelle. La défense moderne contre les bots nécessite une analyse comportementale, une empreinte d'appareil et des défis adaptatifs qui escaladent en fonction des signaux de risque plutôt que de s'appuyer sur une vérification ponctuelle.
Le voyage (48 % de trafic de bots malveillants), le retail (59 %) et les services financiers (22 % des attaques ATO) font face au risque le plus élevé. Cependant, toute organisation disposant de données précieuses, de comptes utilisateurs ou de fonctionnalités e-commerce est une cible. La démocratisation des outils de bots signifie que même les petites entreprises font face à des attaques automatisées sophistiquées.
Conclusion
L'internet a franchi un seuil en 2024. Les bots génèrent désormais plus de trafic que les humains, et l'écart va s'accroître. Ce basculement n'est pas intrinsèquement négatif — l'automatisation permet des services précieux, de l'indexation de recherche à la surveillance de sécurité. Le défi réside dans la composition : les bots malveillants ont crû pour la sixième année consécutive, représentant désormais 37 % de tout le trafic. L'IA a accéléré les deux tendances, permettant des attaques plus sophistiquées tout en améliorant simultanément les capacités défensives.
Pour les équipes sécurité d'entreprise, les implications sont claires. Les références de trafic et les modèles de sécurité construits sur l'hypothèse d'un trafic majoritairement humain sont obsolètes. La détection de bots ne peut plus être une préoccupation secondaire ou une fonctionnalité cochée — elle doit être une compétence centrale. Les organisations qui prospéreront seront celles qui construiront des infrastructures capables de traiter efficacement un trafic majoritairement composé de bots tout en identifiant et en priorisant avec précision la minorité humaine.
La question n'est plus de savoir si votre organisation fait face à un trafic de bots significatif. C'est le cas. La question est de savoir si vous pouvez distinguer les 49 % de visiteurs qui sont humains des 51 % qui ne le sont pas — et si votre infrastructure, votre posture de sécurité et votre modèle économique sont conçus pour cette nouvelle réalité.
Références et sources
Source principale pour les statistiques de trafic de bots, les ventilations sectorielles et les tendances d'attaque. Le 12e rapport annuel analysant les données de 13 billions de requêtes bloquées. Accès : https://www.imperva.com/resources/resource-library/reports/2025-bad-bot-report/
Source pour les données de part de marché des crawlers IA, les ratios exploration/renvoi et la ventilation crawlers d'entraînement vs recherche. Accès : https://blog.cloudflare.com/crawlers-click-ai-bots-training/
Source pour les statistiques de croissance du trafic de bots IA (augmentation de 300 % en glissement annuel) et les tendances d'attaque d'API. Accès : https://www.akamai.com/security-research/the-state-of-the-internet
Source pour les statistiques d'attaques de scalping, les volumes de scrapers IA et les données d'impact sur le secteur du retail. Accès : https://www.kasada.io/reports/q2-2025-bot-attack-trends/
Sources pour les pertes par fraude ATO (13 Md$), les coûts par victime (12 K$) et les statistiques d'impact sur les revenus de Netacea, DataDome et la recherche sectorielle.
Défendez-vous contre la majorité des bots
La plateforme de gestion des bots de TR7 combine détection alimentée par IA, analyse comportementale et protection des API pour identifier et atténuer les menaces automatisées. Découvrez comment nous distinguons les 49 % humains des 51 % de bots.
Découvrir la protection contre les bots