Cette année, la presse généraliste a fait état d’un tournant historique : le trafic automatisé a désormais dépassé le trafic généré par les utilisateurs en ligne. Et les chiffres qui sous-tendent cette évolution sont plus difficiles à ignorer que la plupart des moments marquants de l’histoire d’Internet.

La donnée la plus largement citée provient du rapport « 2025 Bad Bot Report » d’Imperva, la 12ème édition de sa série annuelle qui suit les tendances du trafic automatisé depuis 2013. En analysant les schémas de trafic de 2024, le rapport a révélé que l’activité automatisée représentait, pour la première fois depuis le début des relevés, plus de 50 % de l’ensemble du trafic web, atteignant 51 %. Il convient de noter qu’Imperva avait déjà frôlé ce seuil auparavant. Son rapport de 2024 faisait état d’une part de robots de 49,6 % ; il s’agit donc moins d’un franchissement soudain que de la confirmation d’une tendance qui s’est dessinée depuis des années chez de nombreux fournisseurs et dans divers cadres de mesure.

Imperva n’est pas la seule à constater ce phénomène. Cloudflare, Akamai, TollBit et Human Security ont tous publié des données allant dans le même sens. Chez Kinsta, notre propre analyse de plus de 10 milliards de requêtes sur notre infrastructure gérée confirme cette tendance : le trafic généré par les robots basés sur l’IA a bondi de 300 % en une seule année, et les conséquences ne sont plus abstraites.

Et bien que l’écart entre le trafic humain et le trafic automatisé reste faible, les implications sont énormes. Adoptons une vision à long terme pour comprendre comment cette évolution du trafic généré par les robots façonne le web.

Que sont les robots et pourquoi les anciennes définitions ne s’appliquent-elles plus ?

Traditionnellement, les bots (abréviation de « robots ») sont des applications logicielles conçues pour effectuer des tâches automatisées sans intervention humaine. Le plus connu est Googlebot, le robot d’exploration automatisé de Google qui analyse et indexe les pages web pour la recherche. D’autres robots courants gèrent la surveillance de la disponibilité, l’indexation, l’analyse de données, les analyses de sécurité et d’autres fonctions utilitaires qui contribuent au bon fonctionnement du web.

Si bon nombre de ces robots sont inoffensifs (voire bénéfiques), une autre catégorie de robots s’est développée au fil du temps, qui s’avère bien plus problématique. Il s’agit des robots d’exploration basés sur l’IA qui opèrent à une échelle telle qu’ils mettent à rude épreuve les infrastructures, quelle que soit leur intention.

Dans notre rapport sur le trafic lié à l’IA et aux robots, David Belson, ancien responsable de l’analyse des données chez Cloudflare, a déclaré : « La plupart des activités que nous observons ne sont pas malveillantes. Il s’agit de robots qui se comportent de manière inefficace à grande échelle, et c’est là que les véritables problèmes commencent. »

Historiquement, les robots étaient relativement faciles à identifier, car ils étaient généralement incapables d’exécuter du JavaScript, de simuler les mouvements du pointeur, de maintenir des sessions de navigation réalistes ou de faire tourner efficacement les adresses IP. La situation a radicalement changé. L’automatisation alimentée par l’IA permet désormais aux robots d’imiter le comportement humain avec une sophistication surprenante, masquant ainsi les signaux traditionnels utilisés pour leur détection.

Comme le dit M. Belson : « Il y a cette personne qui ne savait absolument pas ce qu’elle faisait hier, mais qui a codé un robot à la va-vite aujourd’hui et l’a lâché dans la nature, sans même prendre la peine de vérifier le fichier robots.txt. »

En conséquence, les systèmes s’éloignent de plus en plus de la détection basée sur l’identité pour s’orienter vers l’analyse comportementale.

Qu’entend-on par trafic humain ?

Afin d’éviter toute confusion, lorsque nous parlons de trafic humain, nous ne faisons pas simplement référence aux clics ou aux interactions évidentes des utilisateurs. Le trafic humain englobe les nombreuses requêtes générées dans le cadre de la diffusion et du rendu d’une page web ou d’une expérience applicative.

Une seule visite humaine sur une page peut générer des dizaines (voire des centaines) de requêtes. Celles-ci peuvent inclure des requêtes pour du HTML, du CSS, du JavaScript, des polices, des images, des API, des scripts d’analyse, des éléments publicitaires et d’autres ressources nécessaires au rendu d’une page web moderne.

Cette distinction est importante car les discussions sur le trafic généré par des robots par opposition au trafic humain s’appuient généralement sur le nombre de requêtes et l’activité réseau, plutôt que sur le nombre de personnes réelles connectées. Un nombre relativement faible de bots agressifs peut générer d’énormes volumes de trafic en demandant sans cesse des pages, en scrapant des API, en téléchargeant des ressources ou en exécutant des actions automatisées à l’échelle d’une machine.

Pourquoi maintenant ?

Plusieurs facteurs accélèrent la croissance du trafic généré par les robots, au-delà de la seule IA générative.

1. La motivation financière

L’époque où les farces, la curiosité ou la prouesse technique constituaient les principales motivations derrière les activités malveillantes en ligne est largement révolue. L’Internet d’aujourd’hui favorise un environnement dans lequel les opérations illégales menées par des individus ou de grands réseaux criminels organisés peuvent générer des profits se chiffrant en millions de dollars.

La fraude, le vol de données, l’exploitation et la destruction de systèmes, la manipulation des marchés, l’extraction de contenu à grande échelle, la diffusion de ransomware et d’autres formes de génération de revenus illicites sont désormais menées à une échelle gigantesque par des systèmes automatisés et des robots malveillants.

L’accès non autorisé et illégal aux données personnelles est devenu une activité très lucrative, et les bots alimentés par l’IA rendent ces activités de plus en plus difficiles à détecter, à tracer et à mettre fin.

2. Un cadre réglementaire insuffisant

Internet est un environnement fragmenté à l’échelle mondiale, où les lois, leur application et les compétences juridictionnelles varient considérablement d’un pays à l’autre et d’une région à l’autre. Cette fragmentation constitue un terrain propice à l’essor de l’automatisation malveillante.

La faiblesse des cadres réglementaires permet aux robots IA nuisibles de se multiplier, car les lois, leur application et la coordination internationale n’ont pas suivi le rythme de l’évolution rapide de l’automatisation pilotée par l’IA. Bien que cela constitue depuis longtemps un défi dans le domaine technologique, la vitesse et l’ampleur du développement de l’IA ont considérablement aggravé le problème.

3. Les agents utilisateurs ne fournissent plus de signaux fiables

Pendant des années, les agents utilisateurs ont fourni l’un des signaux d’identité les plus fiables du Web. Un agent utilisateur identifiait de manière fiable le navigateur, le système d’exploitation et, parfois, l’appareil à l’origine d’une requête. Les systèmes s’appuyaient fortement sur ces identifiants pour distinguer les navigateurs légitimes, les robots d’indexation des moteurs de recherche, les appareils mobiles et les bots automatisés.

Ce modèle est en train de s’effondrer. Les robots modernes sont capables de masquer, d’usurper ou de manipuler les agents utilisateurs avec une telle efficacité que le signal lui-même devient de plus en plus peu fiable. Un robot malveillant peut désormais se faire passer pour un navigateur légitime, imiter un appareil mobile, voire se déguiser en robot d’indexation de confiance. L’automatisation basée sur l’IA a accéléré cette tendance en rendant l’usurpation d’identité sophistiquée plus facile et moins coûteuse à déployer à grande échelle.

En conséquence, les systèmes de sécurité modernes s’appuient de plus en plus sur le comportement plutôt que sur la seule identité.

Comment évaluer les robots aujourd’hui

La réputation IP et les autres signaux traditionnels n’étant plus entièrement fiables, les systèmes de détection recherchent de plus en plus des schémas comportementaux suggérant une automatisation ou une activité malveillante.

Les requêtes arrivant à des vitesses, à une échelle et à une fréquence impossibles à reproduire par des humains restent l’un des signes avant-coureurs les plus évidents. Les tentatives de connexion répétées, les comportements de scraping hautement séquentiels, l’utilisation intensive des API et les pics importants de requêtes indiquent souvent qu’une automatisation est à l’œuvre.

Les données issues de l’infrastructure de Kinsta ont enregistré qu’un seul robot avait généré 3,75 millions de requêtes vers des URL « Ajouter au panier » sur un site en 24 heures, soit environ une requête toutes les 23 millisecondes, toute la journée, chacune atteignant le serveur sous la forme d’une nouvelle requête non mise en cache.

7,67 millions de requêtes ont été adressées à des URL d’ajout au panier en 24 heures
7,67 millions de requêtes ont été adressées à des URL d’ajout au panier en 24 heures

Le comportement de navigation humain a tendance à être quelque peu imprévisible. Les robots, même les plus sophistiqués, produisent souvent des schémas d’interaction très répétitifs, des flux de navigation prévisibles ou une extraction inhabituellement systématique, même lorsqu’ils parviennent à imiter l’exécution de JavaScript, des sessions de navigation réalistes et les mouvements de souris. C’est pourquoi la détection s’est orientée vers l’évaluation de l’intention comportementale plutôt que vers l’identité déclarée.

Chez Kinsta, c’est exactement la logique que nous utilisons pour classer le trafic sur l’ensemble des sites infogérés. Plutôt que de se limiter à une simple distinction binaire « humain ou robot », notre système de protection contre les robots s’articule autour de six catégories : robots vérifiés, probablement des humains, probablement des robots, trafic automatisé, trafic non classé et trafic malveillant, avec une désignation distincte pour les robots d’indexation IA à débit excessif qui sont vérifiés mais génèrent une charge qui met l’infrastructure à rude épreuve, quelle que soit leur intention.

Répartition des requêtes de robots chez Kinsta
Répartition des requêtes de robots chez Kinsta

Chaque catégorie est traitée différemment, car la réponse appropriée à un robot d’entraînement d’IA mal configuré n’est pas la même que celle à une attaque par « credential stuffing ». Par défaut, les défenses au niveau de la plateforme de Kinsta bloquent environ 15 à 20 % du trafic classé comme malveillant avant même qu’il n’atteigne votre site. Les couches de protection contre les robots qui s’ajoutent à ce niveau de base permettent aux propriétaires de sites de contester ou de bloquer des catégories supplémentaires en fonction de leurs propres modèles de trafic et de leur tolérance au risque.

Niveau de protection contre les robots de Kinsta
Niveau de protection contre les robots de Kinsta

Implications et tendances à surveiller

À mesure que ces systèmes évoluent, leurs implications dépassent largement le cadre de la cybersécurité et commencent à affecter l’infrastructure, la publication, l’analyse de données, le commerce électronique et la qualité globale du web lui-même.

Y a-t-il des éléments à l’horizon susceptibles de ralentir la croissance du trafic généré par les robots ? Les données suggèrent que non. Le trafic généré par les robots IA a bondi de 300 % en un an, et le ratio de visites de robots IA est passé de 1 sur 200 à 1 sur 31 en moins de 12 mois. Comme l’explique Daniel Pataki, directeur technique de Kinsta : « À grande échelle, une exploration inefficace cesse d’être un problème de trafic pour devenir un problème de ressources. » Les conditions à l’origine de cette ampleur ne s’atténuent pas.

Coûts de l’infrastructure d’hébergement

L’une des conséquences les plus immédiates de l’augmentation du trafic généré par les robots est la hausse des coûts d’infrastructure. Chaque requête adressée à un site web consomme de la bande passante, des ressources de calcul, des requêtes de base de données, de la mémoire, des systèmes de mise en cache et de l’infrastructure de stockage.

Le problème est particulièrement aigu sur les sites WordPress utilisant WooCommerce, des fonctionnalités de recherche ou de nombreuses extensions. Contrairement aux pages statiques servies à partir du cache, les points de terminaison dynamiques exigent que le serveur effectue un véritable travail à chaque requête. Un robot pris au piège dans une boucle de chaîne de requête ne peut pas faire la différence entre une page pouvant être mise en cache et une page coûteuse en ressources. Une seule boucle de ce type sur un site géré par Kinsta a déclenché 550 millions de requêtes en 30 jours avant qu’une règle de mitigation dédiée ne la détecte.

Comme le dit Daniel Pataki : « Il n’existe pas de simple trafic de bots. Chaque requête représente un travail réel. À grande échelle, un exploration inefficace cesse d’être un problème de trafic pour devenir un problème de ressources. »

Les petits éditeurs et les propriétaires de sites indépendants sont particulièrement vulnérables, car ils ne disposent souvent pas des systèmes de protection de niveau entreprise dont bénéficient les grandes organisations.

Des analyses faussées

Le trafic généré par les robots basés sur l’IA fausse de plus en plus les indicateurs d’analyse, ce qui peut s’avérer très trompeur. Le gonflement du nombre de pages vues, les faux engagements, le trafic de référence artificiel et les interactions automatisées peuvent conduire les décideurs à tirer des conclusions erronées à partir de données peu fiables.

Le problème s’aggrave à mesure que les bots se rapprochent du comportement humain. Les outils qui s’appuient sur le suivi JavaScript, comme Google Analytics, ont tendance à sous-estimer l’activité des robots, car beaucoup d’entre eux n’exécutent pas de code JavaScript. Les analyses au niveau du serveur, qui comptabilisent chaque requête basée sur l’adresse IP, ont tendance à surestimer cette activité, car elles détectent les robots que le JavaScript ne repère pas.

Chez Kinsta, les analyses MyKinsta s’appuient sur les journaux d’accès au niveau du serveur et excluent explicitement les agents utilisateurs de robots connus du décompte des visites facturables ; toutefois, même cette distinction a ses limites, car le trafic automatisé qui imite étroitement le comportement humain peut tout de même apparaître dans les chiffres communiqués.

Depuis novembre 2025, les classements des requêtes les plus fréquentes de Kinsta reflètent l’ensemble du trafic, y compris celui des robots, précisément pour offrir aux propriétaires de sites une vision plus claire de ce qui sollicite réellement leur infrastructure par rapport à ce qui leur est facturé.

Classement des requêtes les plus fréquentes de Kinsta par bande passante
Classement des requêtes les plus fréquentes de Kinsta par bande passante

Lorsque le nombre de pages vues augmente mais que le volume de recherches liées à votre marque, les conversions et le trafic direct restent stables, les robots sont très certainement responsables de cet écart.

L’avènement du « web mort »

Le phénomène dit du « web mort » fait référence au flot croissant de contenus de mauvaise qualité, générés par des machines, qui envahissent Internet. Si certaines versions extrêmes de cette théorie relèvent de la spéculation, il ne fait guère de doute que l’IA facilite considérablement la production à grande échelle d’articles synthétiques, de faux avis, de spams de blogs, de médias automatisés et de contenu de faible valeur.

Il pourrait en résulter un Web pollué, dans lequel il devient de plus en plus difficile de trouver des informations fiables et véritablement utiles.

Risques de sécurité accrus liés aux robots malveillants

Les robots alimentés par l’IA augmentent considérablement le niveau de sophistication des cyberattaques. Les attaques par « credential stuffing », les prises de contrôle de comptes, les abus d’API, les campagnes de hameçonnage, l’analyse des vulnérabilités et le déploiement de rançongiciels deviennent plus rapides, plus évolutifs et plus adaptatifs grâce à l’automatisation.

Comme les systèmes d’IA sont capables d’apprendre de leurs échecs et d’affiner en permanence leurs méthodes, les défenses traditionnelles basées sur des règles peinent de plus en plus à suivre le rythme.

L’économie des scrapers et l’inversion économique

Historiquement, les robots d’indexation tels que Googlebot ont créé une relation économique relativement équilibrée avec les éditeurs. Ils exploraient le contenu, l’indexaient, puis redirigeaient le trafic vers les sites web d’origine.

Les systèmes modernes de scraping basés sur l’IA modifient cette relation. De plus en plus, les systèmes d’IA extraient le contenu, synthétisent les informations ailleurs et fournissent des réponses directement sans nécessairement renvoyer du trafic vers la source d’origine. Cela donne naissance à une « économie du scraping » en pleine expansion, dans laquelle les éditeurs et les créateurs supportent le coût de la production de contenu et de la maintenance de l’infrastructure, tandis que les systèmes automatisés s’approprient une grande partie de la valeur en aval.

Navigateurs et agents autonomes basés sur l’IA

Ces systèmes vont bien au-delà de la simple exploration du web. Les agents basés sur l’IA peuvent désormais naviguer sur le web, interagir avec des applications, effectuer des recherches, faire des achats en ligne, prendre des rendez-vous, remplir des formulaires et prendre des décisions avec peu ou pas d’intervention humaine.

À mesure que ces systèmes continuent de s’améliorer, la frontière entre l’activité humaine et l’activité pilotée par des machines devient de plus en plus difficile à discerner. Cette évolution pourrait modifier en profondeur la signification même du terme « trafic web » à l’avenir.

À l’origine, Internet a été conçu en partant du principe que les humains en étaient les principaux acteurs. Cette hypothèse s’effrite rapidement. À mesure que l’automatisation pilotée par l’IA gagne en autonomie, l’avenir du web pourrait dépendre moins de la distinction entre les humains et les robots, et davantage de notre capacité à déterminer quel type d’Internet piloté par des machines nous sommes prêts à accepter.

La frontière entre l’humain et la machine a disparu

L’impact de cette évolution va bien au-delà de ce que la plupart des propriétaires de sites web imaginent. Les coûts d’infrastructure augmentent. Il devient de plus en plus difficile de se fier aux analyses. L’économie des « scrapers » détourne la valeur des éditeurs qui créent du contenu vers les systèmes qui l’extraient. Et à mesure que les agents alimentés par l’IA deviennent capables de naviguer, de rechercher et de prendre des décisions de manière autonome, la question ne porte plus sur « comment gérer le trafic des robots », mais s’inscrit désormais dans une perspective plus large.

Internet a été construit sur l’hypothèse qu’il y avait une personne à l’autre bout de chaque requête. Cette hypothèse s’érode plus rapidement que ne peuvent s’adapter l’infrastructure, les réglementations et les modèles économiques qui s’appuient sur elle.

Nous sommes désormais pleinement entrés dans une ère où les machines communiquent entre elles sans nécessiter d’intervention humaine.

Pour une analyse plus approfondie des données qui sous-tendent cette évolution, consultez l’intégralité du rapport Kinsta sur l’IA et le trafic de robots. Si vous constatez déjà ces effets sur votre site, la protection anti-robots de Kinsta vous offre les outils nécessaires pour les gérer.

Bud Kraus

Bud Kraus has been working with WordPress as an in-class and online instructor, site developer, and content creator since 2009. He has produced instructional videos and written many articles for WordPress businesses.