Pour la première fois, la navigation humaine est devenue minoritaire sur Internet.
Selon le rapport 2026 de Thales, « Bad Bots in the Agentic Age« , les machines génèrent désormais 53 % du trafic web.
Bienvenue dans l’ère de l’agentique, où l’IA ne se contente plus d’assister, mais dirige l’infrastructure numérique.
Quand l’IA prend les commandes d’Internet
Le constat est sans appel : statistiquement, si vous lisez cet article, vous appartenez à une espèce en voie de raréfaction sur le web.
En 2025, l’activité humaine est tombée à 47 % du trafic global, cédant la majorité aux scripts et agents automatisés.
Ce n’est plus une tendance passagère liée à des campagnes de scraping ciblées, mais un changement structurel de l’écosystème numérique.
L’année 2025 a marqué une rupture technologique majeure : les attaques de bots dopées à l’IA ont été multipliées par 12,5.
Cette explosion s’explique par l’émergence d’une troisième catégorie d’acteurs : les agents IA.
Ni tout à fait « bons », ni forcément « mauvais », ces agents interagissent directement avec les applications pour exécuter des tâches complexes, rendant la distinction entre automatisation légitime et malveillante quasi impossible.
Les API : le nouveau terrain de chasse des machines
L’époque où les bots se contentaient de ralentir l’affichage des pages web est révolue.
Aujourd’hui, les attaquants contournent les interfaces utilisateur pour frapper là où le cœur du business bat : les API (Interfaces de Programmation).
Véritable épine dorsale du commerce en ligne, les API représentent désormais 27 % des cibles d’attaques.
Ces assauts sont d’autant plus redoutables qu’ils imitent à la perfection le comportement humain, utilisant des identifiants valides pour manipuler la logique métier (flux de paiements, données clients, processus internes).
Avec 24 % des attaques globales et 46 % des incidents de prise de contrôle de comptes (Account Takeover), les banques et services financiers restent la cible prioritaire d’une automatisation conçue pour la monétisation directe du cybercrime.
Du blocage à la gouvernance : le nouveau paradigme de la sécurité
Face à cette omniprésence des machines, la stratégie du « bloquer tout » est devenue obsolète.
Comme le souligne Tim Chang, vice-président chez Thales, l’enjeu n’est plus d’identifier un bot, mais de comprendre son intention.
« L’IA transforme l’automatisation : c’était auparavant un élément que les entreprises tentaient de bloquer, c’est désormais un élément qu’elles doivent également gérer. »
Le défi pour les organisations en 2026 est de combler un déficit de visibilité croissant. Une part massive de l’activité IA actuelle n’est pas vérifiée, se fondant dans le trafic normal.
Les entreprises doivent désormais passer d’un modèle de cybersécurité réactif à un modèle de gouvernance de l’automatisation.
Ce qu’il faut retenir pour 2026 :
- Omniprésence : Plus de la moitié du trafic web est machine.
- Invisibilité : Les agents IA brouillent les pistes entre services légitimes et cyberattaques.
- Cible critique : Les API et les systèmes d’identité sont les nouvelles priorités sécuritaires.
- Stratégie : La gestion comportementale et la gouvernance des agents IA deviennent les piliers de la survie numérique.
Internet est devenu un monde piloté par les machines, pour les machines. Pour les entreprises, la question n’est plus de savoir comment évincer les bots, mais comment cohabiter avec une automatisation qui a, de fait, pris le contrôle du réseau…
