Quand vous naviguez sur un site, vous êtes statistiquement en minorité. La majorité des visiteurs n’ont pas de mains, pas d’écran ou de pause café. Ce sont des scripts qui parcourent des pages, remplissent des formulaires, testent des identifiants et extraient des données à une cadence qu’aucun humain ne pourrait tenir. Et depuis 2025, ils sont plus nombreux que nous.
53 % machines et 47 % humains
Le rapport Bad Bot 2026 de Thales, qui analyse le trafic web de l’année écoulée, met un chiffre sur un basculement que beaucoup pressentaient. Les activités automatisées représentent désormais 53 % du trafic mondial, contre 51 % un an plus tôt. L’activité humaine est tombée à 47 %.
📩 L’actu digitale évolue vite. Restez à jour.
Recevez la newsletter quotidienne, gratuitement.
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Et parmi ces bots, quatre sur dix sont classés comme malveillants. Le reste propose des usages légitimes.
- Les moteurs de recherche qui indexent des pages.
- Les comparateurs de prix qui surveillent les tarifs.
- Les agents IA qui exécutent des tâches pour le compte d’entreprises.
Un bot légitime et un bot hostile se comportent souvent de manière strictement identique. Même vitesse, mêmes requêtes, même interaction avec les formulaires. Seule l’intention diffère.
Les API, nouvelle porte d’entrée préférée des attaquants
Les défenses traditionnelles protègent ce que l’utilisateur voit, la page web, le formulaire de connexion. Les attaquants ont compris qu’il valait mieux attaquer ce que personne ne voit à savoir les API, ces interfaces techniques qui font communiquer les systèmes entre eux en coulisses. Thales rapporte que 27 % des attaques de bots visent désormais directement les API, en utilisant des identifiants volés, mais valides et des requêtes parfaitement formatées.
Les bots exploitent la logique métier elle-même (aspiration de données clients, manipulation de flux de paiement, détournement de processus internes). Les services financiers encaissent le plus gros du choc. 24 % de toutes les attaques de bots et 46 % des prises de contrôle de comptes atterrissent dans ce secteur. L’argent attire les machines autant que les humains.
Gouverner plutôt que bloquer
Tim Chang, responsable de la sécurité des applications chez Thales estime que savoir qu’un bot est là ne sert plus à grand-chose. L’important est de déterminer s’il travaille pour vous ou contre vous. Bloquer l’automatisation en masse n’est plus viable quand une part croissante de votre activité en dépend.
Douze fois et demie plus d’attaques IA en un an. Il y a encore trois ans, on parlait des bots comme d’une nuisance périphérique. Aujourd’hui, ils pèsent sur les courbes de fréquentation, faussent les indicateurs business et s’imbriquent dans les rouages des plateformes en continu.