L'automatisation par agents IA produit mécaniquement un trafic web non humain d'une ampleur que la plupart des organisations n'ont pas encore intégrée dans leur modèle de risque. Le trafic généré est en grande partie non identifiés, au risque de fausser les analyses d'audience, d'exposer des données sensibles et d'ouvrir des brèches dans des périmètres que les équipes de sécurité croyaient maîtriser. Les agents IA sont devenus un générateur de trafic astronomique, et leur opacité d'identification constitue un angle mort de gouvernance.
Sur les deux premiers mois de 2026, DataDome a recensé 7,9 milliards de requêtes émises par des agents IA à destination de sites web, soit une progression de 5 % par rapport au trimestre précédent. Parmi les agents les plus actifs figurent Meta-ExternalAgent, ChatGPT-User et PerplexityBot, trois identifiants désormais familiers des journaux de serveur des grandes plateformes. Mais derrière ces noms reconnaissables se cache une réalité plus trouble : quatre agents sur cinq ne respectent pas les conventions d'identification standard, et quatre sites web sur cinq ne disposent d'aucun mécanisme de vérification de l'identité des agents qui les sollicitent.
Le constat de DataDome révèle une asymétrie profonde. Du côté des émetteurs, les grands éditeurs de modèles déploient des agents capables de simuler un comportement utilisateur humain au point de contourner les dispositifs de détection traditionnels fondés sur les empreintes de navigateur ou les comportements de session. Du côté des récepteurs, la quasi-totalité des organisations n'a pas mis en place les contrôles nécessaires pour distinguer un utilisateur humain d'un agent automatisé, encore moins pour en vérifier l'identité déclarée.
L'usurpation d'identité des agents, un risque méconnu
Ce déficit de visibilité a des conséquences concrètes. Les équipes analytiques travaillent sur des données d'audience contaminées par du trafic non humain. Les équipes e-commerce subissent du scraping de prix et d'inventaires à une cadence que les solutions anti-bot de première génération ne peuvent absorber. Les équipes de sécurité, quant à elles, font face à un nouveau type de menace : l'usurpation d'identité d'agent. Meta-ExternalAgent, le label le plus usurpé selon le rapport, a concentré 16,4 millions de requêtes spoofées sur la période analysée. PerplexityBot présente pour sa part le taux d'usurpation le plus élevé en proportion de son trafic total.
La technique n'est pas nouvelle dans son principe, les user-agents HTTP ont toujours fait l’objet de falsifications, mais l'échelle et la sophistication atteignent un seuil inédit. Les navigateurs agentiques de dernière génération reproduisent fidèlement les patterns de navigation humaine : temps de résidence sur les pages, profondeur de défilement, enchaînement logique des requêtes. Cette capacité de mimétisme place les systèmes de détection comportementale en situation d'échec partiel, contraignant les équipes à remonter vers des approches d'analyse en couches combinant la réputation de l'adresse IP, la cohérence des en-têtes HTTP et l'analyse de la temporalité des requêtes.
Pour les secteurs les plus exposés (l'e-commerce, l'immobilier, le voyage et le commerce de détail arrivent en tête selon DataDome), l'enjeu dépasse la simple optimisation de bande passante. Les données de prix, d'inventaire ou de disponibilité constituent un actif stratégique que des concurrents ou des agrégateurs peuvent collecter massivement via des agents non déclarés. La valeur économique de ces données justifie l'investissement dans des mécanismes de détection et de vérification d'identité agentique, un marché que DataDome, Cloudflare et plusieurs acteurs spécialisés cherchent activement à adresser.
Les secteurs à forte valeur des données en première ligne
La géographie du trafic agentique reflète la diversité des sqituation. DataDome observe une concentration sur les verticales où la donnée en temps réel a une valeur marchande directe : les plateformes de e-commerce, les portails d'annonces immobilières, les comparateurs de voyage et les sites de commerce de détail concentrent l'essentiel du trafic agentique de navigation simulée. Ce n'est pas un hasard, car ces environnements exposent des données structurées, régulièrement mises à jour, directement exploitables par des agents de comparaison de prix ou d'agrégation d'offres.
Pour les DSI et les RSSI de ces secteurs, la réponse ne peut pas se réduire à un ajustement des règles de pare-feu. Elle suppose une révision de l'architecture d'exposition des API et des surfaces web, une réflexion sur la granularité des données accessibles sans authentification, et l'intégration de contrôles d'identité agentique dans les politiques de sécurité. Les référentiels NIS2 et DORA, qui imposent une traçabilité renforcée des accès et une gestion rigoureuse des risques liés aux tiers, fournissent un cadre réglementaire pertinent pour organiser ces exigences — à condition que les équipes de conformité intègrent explicitement le trafic automatisé dans leur périmètre d'analyse.
Gouverner le trafic non humain, un chantier urgent
L'AI Traffic Report de DataDome soulève une question de fond que peu d'organisations ont formalisée : quelle politique de gouvernance appliquer aux agents IA qui accèdent à leurs environnements numériques ? La réponse suppose d'abord d'en accepter la prémisse — le trafic agentique n'est pas marginal, il est structurel, et sa progression trimestrielle régulière indique qu'il le sera davantage encore à mesure que les usages d'IA générative s'étendent dans les entreprises clientes et partenaires.
Plusieurs pistes techniques émergent du rapport : la mise en place de mécanismes de vérification d'identité des agents (défis cryptographiques, tokens d'authentification dédiés), l'analyse comportementale en temps réel pour distinguer les agents légitimes des agents simulateurs, et la constitution de listes de référence des agents connus et autorisés, sur le modèle des politiques robots.txt, mais avec une profondeur d'application incomparablement supérieure. Ces dispositifs ne doivent plus relever de la spécialité des équipes anti-fraude seules, ils doivent être intégrés dans la politique de sécurité de l'ensemble de la chaîne d'approvisionnement numérique, à l'heure où chaque partenaire commercial peut lui-même déployer des agents qui sollicitent vos systèmes à votre insu.
