Selon
un nouveau rapport de DataDome, les agents IA génèrent un volume de trafic
inédit, tandis que la plupart des entreprises manquent encore de visibilité
pour distinguer les agents légitimes des acteurs malveillants.
DataDome,
multinationale française spécialisée dans la protection contre les bots et les
agents IA malveillants, publie un nouveau rapport baptisé The AI Traffic Report :
High Volume, Low Visibility, and a Growing Risk. Ce dernier analyse l’ampleur,
la nature et les risques liés au trafic généré par l’IA agentique depuis le
début de l’année 2026.
Le rapport démontre que
les agents IA explorent, indexent et interagissent avec les sites web à un
rythme que peu d'entreprises sont aujourd’hui en mesure de maîtriser. Au-delà
du volume, le manque de visibilité sur l’identité et l’intention de ces agents
constitue désormais un enjeu majeur de cybersécurité.
« Un trafic invisible
est un trafic impossible à maîtriser. Aujourd’hui, la plupart des organisations
n’ont pas la visibilité nécessaire pour prendre les bonnes décisions, explique Jérôme
Segura, VP Threat Research chez DataDome. Des milliards de requêtes
arrivent chaque mois sur les sites, provenant d’agents IA aux identités, aux
objectifs et aux niveaux de transparence très variables. »
Les principales
conclusions du rapport
Le trafic généré par
les agents IA est déjà massif
Le réseau DataDome a
enregistré 7,9 milliards de requêtes d’agents IA en janvier et février 2026,
soit une hausse de + 5 % par rapport au quatrième trimestre 2025. Chez l’un des
clients de DataDome, ce trafic représentait 9,75 % du trafic total sur une période
de 30 jours.
Des agents légitimes
usurpés à grande échelle
L’agent
Meta-externalagent est celui dont l’identité est le plus fréquemment imitée,
avec 16,4 millions de requêtes frauduleuses, suivi de ChatGPT-User avec 7,9
millions. PerplexityBot affiche le taux d’usurpation le plus élevé, avec près
de 2,4 % des requêtes identifiées comme frauduleuses.
Les navigateurs
agentiques, un risque encore sous-estimé
Ce type de trafic se
concentre particulièrement dans les secteurs disposant des données
transactionnelles les plus sensibles :
• E-commerce et retail (20 % du volume)
• Immobilier (17 %)
• Voyage et tourisme (15 %)
Volume ne rime pas
toujours avec valeur
En février 2026, Meta
ExternalAgent représentait près d'un quart (25 %) du trafic des principaux
agents IA sur le réseau DataDome, suivi de ChatGPT-User avec 19,1 % et Meta
WebIndexer avec 14,3 %. Certains agents peuvent générer de la valeur de
référencement, tandis que d’autres se contentent de collecter des données sans
bénéfice pour les sites visités.
Le rapport souligne un défi majeur pour les organisations qui gèrent des sites à fort trafic : sans la capacité de classifier avec précision les agents IA selon leur identité et leur intention, il est impossible de décider avec certitude s'il faut les autoriser ou les bloquer. Les sites qui autorisent certains bots uniquement sur la base de leur user-agent s’exposent ainsi à des risques : une identité usurpée, comme PerplexityBot ou ChatGPT-User, peut transformer une liste blanche en véritable surface d’attaque.