DataDome, multinationale française spécialisée dans la protection contre les bots et les agents IA malveillants, publie un nouveau rapport baptisé The AI Traffic Report: High Volume, Low Visibility, and a Growing Risk. Ce dernier analyse l’ampleur, la nature et les risques liés au trafic généré par l’IA agentique depuis le début de l’année 2026.
Le rapport démontre que les agents IA explorent, indexent et interagissent avec les sites web à un rythme que peu d’entreprises sont aujourd’hui en mesure de maîtriser. Au-delà du volume, le manque de visibilité sur l’identité et l’intention de ces agents constitue désormais un enjeu majeur de cybersécurité.
«Un trafic invisible est un trafic impossible à maîtriser. Aujourd’hui, la plupart des organisations n’ont pas la visibilité nécessaire pour prendre les bonnes décisions», explique Jérôme Segura, VP Threat Research chez DataDome. «Des milliards de requêtes arrivent chaque mois sur les sites, provenant d’agents IA aux identités, aux objectifs et aux niveaux de transparence très variables.»
Les principales conclusions du rapport
Le trafic généré par les agents IA est déjà massif
Le réseau DataDome a enregistré 7,9 milliards de requêtes d’agents IA en janvier et février 2026, soit une hausse de + 5 % par rapport au quatrième trimestre 2025. Chez l’un des clients de DataDome, ce trafic représentait 9,75 % du trafic total sur une période de 30 jours.
Des agents légitimes usurpés à grande échelle
L’agent Meta-externalagent est celui dont l’identité est le plus fréquemment imitée, avec 16,4 millions de requêtes frauduleuses, suivi de ChatGPT-User avec 7,9 millions. PerplexityBot affiche le taux d’usurpation le plus élevé, avec près de 2,4 % des requêtes identifiées comme frauduleuses.
Les navigateurs agentiques, un risque encore sous-estimé
Ce type de trafic se concentre particulièrement dans les secteurs disposant des données transactionnelles les plus sensibles :
– E-commerce et retail (20 % du volume)
– Immobilier (17 %)
– Voyage et tourisme (15 %)
Volume ne rime pas toujours avec valeur
En février 2026, Meta ExternalAgent représentait près d’un quart (25 %) du trafic des principaux agents IA sur le réseau DataDome, suivi de ChatGPT-User avec 19,1 % et Meta WebIndexer avec 14,3 %. Certains agents peuvent générer de la valeur de référencement, tandis que d’autres se contentent de collecter des données sans bénéfice pour les sites visités.
Le rapport souligne un défi majeur pour les organisations qui gèrent des sites à fort trafic : sans la capacité de classifier avec précision les agents IA selon leur identité et leur intention, il est impossible de décider avec certitude s’il faut les autoriser ou les bloquer. Les sites qui autorisent certains bots uniquement sur la base de leur user-agent s’exposent ainsi à des risques : une identité usurpée, comme PerplexityBot ou ChatGPT-User, peut transformer une liste blanche en véritable surface d’attaque.
