La question a changé. Pendant la majeure partie de la dernière décennie, les équipes de sécurité demandaient : ce trafic provient-il d'un bot ou d'un humain ? Cette distinction binaire était suffisante lorsque les bots étaient des outils scriptés aux signatures prévisibles.
Ce n'est plus suffisant. Les agents IA autonomes alimentés par des grands modèles de langage naviguent, recherchent, achètent et effectuent des transactions au nom des utilisateurs humains. Gartner prévoit que d'ici 2035, 80 % du trafic internet pourrait être généré par des agents IA. McKinsey projette entre 3 et 5 billions de dollars de revenus mondiaux transitant par le commerce agentique d'ici 2030. Forrester rapporte que 36 % des consommateurs américains sont déjà intéressés par l'utilisation d'agents IA pour effectuer des transactions en ligne.
Forrester a reconnu officiellement ce changement au quatrième trimestre 2025, renommant sa catégorie de gestion des bots en « Bot and Agent Trust Management Software ». Ce nouveau nom reflète ce qu'est devenu le problème : non pas bloquer toute automatisation, mais gouverner un environnement de trafic mixte où certains agents sont des partenaires commerciaux légitimes et d'autres sont des vecteurs de fraude.
Ce guide couvre ce que signifie la catégorie, comment les principales plateformes l'abordent différemment et comment choisir la bonne solution pour votre organisation.
Qu'est-ce que le Logiciel de Gestion de Confiance des Bots et Agents ?
Réponse rapide : Le logiciel de gestion de confiance des bots et agents identifie et analyse l'intention du trafic automatisé dirigé vers une application, en établissant des relations de confiance continues avec les bots et agents IA légitimes tout en bloquant ou redirigeant les malveillants. La catégorie a été officiellement nommée par Forrester au quatrième trimestre 2025.
La définition officielle de la catégorie par Forrester est précise : « logiciel qui identifie et analyse l'intention du trafic automatisé dirigé vers une application, en établissant des relations de confiance continues avec les bons bots et agents tout en rejetant et redirigeant les bots et agents IA malveillants pour protéger les activités légitimes des clients tout en augmentant les coûts des attaquants. »
Le mot opérationnel est intention. Les outils antérieurs de gestion des bots demandaient si le trafic était automatisé. La gestion de confiance des bots et agents demande ce que le trafic automatisé tente de faire.
Cela importe car le modèle de menace s'est divisé en deux :
- Agents IA légitimes — assistants d'achat, agents de recherche et outils de commerce agentique opérant au nom d'utilisateurs réels. Les bloquer crée des frictions pour les clients légitimes et supprime un canal de revenus en croissance.
- Agents IA malveillants — agents conçus pour les tests de cartes, la fraude à la création de comptes, le scalping, le credential stuffing et le scraping de contenu. Les laisser passer cause des préjudices financiers et réputationnels directs.
Gérer cet environnement nécessite plus qu'une liste de blocage. Cela nécessite une classification, une notation d'intention et une gouvernance capable de traiter le même type de trafic différemment selon ce qu'il tente de faire.
Les Deux Architectures de Détection
Réponse rapide : Les plateformes de gestion de confiance des bots et agents se divisent en deux camps architecturaux : la détection au niveau réseau, qui inspecte les en-têtes HTTP, les adresses IP et les empreintes de requêtes avant que le trafic n'atteigne l'application, et la détection au niveau navigateur, qui s'exécute dans la page et observe les modèles d'interaction de l'interface, la synchronisation et le comportement au niveau de la session. Elles ne sont pas équivalentes. Les outils réseau ne peuvent pas voir ce que fait un agent une fois qu'il est à l'intérieur d'une page active.
Comprendre cette distinction est la chose la plus importante qu'un RSSI puisse apporter dans une évaluation de fournisseurs.
Détection au niveau réseau
Les plateformes de niveau réseau se situent au CDN, au WAF ou au proxy inverse. Elles évaluent chaque requête en fonction de :
- La réputation de l'adresse IP et la propriété de l'ASN
- La chaîne d'agent utilisateur et l'empreinte TLS
- Les combinaisons d'en-têtes de requête
- Les plages d'IP connues des plateformes LLM
- Les patterns de débit et de volume
L'avantage est une faible latence et un déploiement simple. La limitation est fondamentale : un agent IA sophistiqué arrivant depuis une IP résidentielle propre, présentant une empreinte Chrome standard et opérant à une vitesse humainement plausible semble identique au niveau réseau à un utilisateur légitime.
Détection au niveau navigateur
Les plateformes de niveau navigateur chargent un script dans la page elle-même, avant et pendant l'interaction. Elles observent :
- Les délais entre les événements de page qui révèlent une prise de décision basée sur le raisonnement
- Les modèles d'interaction de l'interface qui diffèrent du mouvement de la souris et du comportement de défilement humains
- Les vérifications de cohérence des empreintes digitales du navigateur tout au long de la session
- Les séquences de requêtes réseau suspectes qui émergent pendant l'exploration de la page
- Les indicateurs VPN et proxy visibles uniquement au niveau de la session
Cette approche expose des signaux que l'inspection réseau ne peut pas atteindre. Les propres recherches de cside ont révélé que les agents IA ont contourné la détection traditionnelle des bots dans 81 des 100 tentatives de test contrôlées, précisément parce que ces outils opéraient au niveau réseau et que les agents étaient conçus pour passer l'inspection au niveau réseau.
Les deux approches ne sont pas mutuellement exclusives. Certaines organisations utilisent les deux. Mais pour les menaces qui contournent délibérément la détection réseau, la visibilité au niveau navigateur n'est pas optionnelle.
Les Principales Plateformes
Réponse rapide : Cinq plateformes mènent la catégorie de gestion de confiance des bots et agents en 2026 : cside (détection au niveau navigateur), DataDome Agent Trust (edge réseau/CDN), HUMAN Security AgenticTrust (niveau réseau avec intelligence au niveau session), Kasada (niveau réseau avec application de politiques) et Arkose Labs (dissuasion par défis). Chacune adopte une approche architecturale différente. Le bon choix dépend de votre modèle de menace et de votre stack existant.
cside
Couche de détection : Niveau navigateur
Cas d'utilisation principal : Détection de fraude par agents IA, classification d'intention, gouvernance par page pour l'ecommerce et le SaaS
cside détecte les agents IA au point d'interaction du navigateur, où les agents révèlent leur comportement à travers les signaux de l'interface, les modèles d'interaction, les anomalies de synchronisation et les empreintes digitales de session. Il identifie les agents nommés comme OpenAI Operator, Amazon Buy For Me et Perplexity Shopper, ainsi que les agents inconnus qui ne déclarent pas leur origine.
Le produit classe chaque session par intention plutôt que par origine. Une page de liste de produits peut avoir des règles de gouvernance différentes d'une page de paiement ou d'un flux de connexion, ce qui importe lorsque la menace est un test de carte ou une fraude à la création de comptes se produisant à un point spécifique de la session. Les options de gouvernance incluent autoriser, bloquer, guider vers un flux restreint et escalader vers une révision humaine.
cside prend également en charge les cas d'utilisation du commerce agentique : autoriser le passage des agents de shopping vérifiés au paiement tout en bloquant les agents non vérifiés sur la même page.
Voir comment cside se compare directement à DataDome et HUMAN Security.
DataDome Agent Trust
Couche de détection : Réseau / edge CDN
Cas d'utilisation principal : Gestion des crawlers LLM, contrôle d'accès au commerce agentique, gestion des files d'attente pour événements à haute demande
DataDome est l'une des plateformes de protection contre les bots les plus établies du marché. Son produit Agent Trust, ajouté en 2025, classe le trafic IA en quatre catégories (AI Crawler, AI Assistant, Agentic Browser et Autonomous Agent) en utilisant des signaux réseau : plages d'IP, enregistrements DNS, chaînes d'agent utilisateur, signatures cryptographiques et en-têtes Web Bot Auth. Chaque session reçoit un score de confiance dynamique de 100 points.
DataDome prend en charge la vérification Know Your Agent (KYA) et Web Bot Auth, ce qui permet aux agents qui déclarent leur origine de manière cryptographique de recevoir des scores de confiance plus élevés. Cela est efficace pour les agents commerciaux connus opérant de manière transparente.
En mai 2026, DataDome a lancé Priority Protect, une salle d'attente virtuelle conçue pour les événements à haute demande tels que les lancements de produits limités et la vente de billets. Il contrôle quels types de trafic sont mis en file d'attente ou admis lors des pics de demande, en appliquant la classification des agents à la gestion des accès.
Agent Trust est inclus dans tous les plans DataDome Bot Protect sans frais supplémentaires. DataDome publie ses tarifs de manière transparente, ce qu'aucun autre fournisseur de cette catégorie ne fait actuellement.
HUMAN Security AgenticTrust
Couche de détection : Niveau réseau
Cas d'utilisation principal : Gouvernance des agents IA grand public, visibilité du commerce agentique, intelligence marketing au niveau de la session
Le produit AgenticTrust de HUMAN Security donne aux équipes de sécurité, de fraude, de commerce et de marketing une visibilité sur les sessions d'agents IA tout au long du parcours client, de la découverte du produit au paiement. Il utilise le jeu de données de renseignement sur les menaces SATORI, construit sur le réseau de HUMAN, pour classifier le trafic des agents.
HUMAN a récemment lancé HUMAN Verified AI Agent, un cadre open source pour la vérification cryptographique de l'identité des agents, positionnant l'entreprise comme une infrastructure potentielle pour les standards d'identité des agents sur le web. La visibilité au niveau de la session s'étend aux équipes marketing et commerce, pas seulement aux équipes de sécurité.
Kasada
Couche de détection : Niveau réseau
Cas d'utilisation principal : Protection des API, prévention du scraping de contenu, gouvernance d'accès agentique
Kasada propose une page produit de gestion de confiance des agents IA construite autour de l'argument que bloquer ou autoriser aveuglément les agents IA n'est pas viable. Son approche met l'accent sur la définition de politiques spécifiques à l'industrie et au cas d'utilisation plutôt qu'une posture universelle. Kasada ne publie pas de statistiques ni ne cite de recherches sur ses pages de gestion de confiance des agents.
Arkose Labs
Couche de détection : Basée sur des défis / session
Cas d'utilisation principal : Dissuasion de la fraude, application de défis aux bots et agents
Arkose Labs a été nommé Notable Vendor dans le Forrester Bot and Agent Trust Management Software Landscape Q4 2025. Son approche se concentre sur l'application à travers des défis interactifs conçus pour augmenter le coût des attaques automatisées, y compris la fraude pilotée par des agents IA. Le mécanisme de défi d'Arkose est conçu pour dégrader l'économie des abus de bots et d'agents plutôt que de simplement bloquer les requêtes.
Comparatif des Plateformes
Réponse rapide : Le choix entre les plateformes dépend de si votre modèle de menace inclut des agents IA qui imitent des sessions de navigateur humaines. Si c'est le cas, la détection au niveau navigateur est essentielle. Si votre principale préoccupation est les crawlers LLM à haut volume et les agents commerciaux connus qui opèrent de manière transparente, les outils de niveau réseau offrent une bonne couverture.
| Capacité | cside | DataDome Agent Trust | HUMAN AgenticTrust | Kasada | Arkose Labs |
|---|---|---|---|---|---|
| Couche de détection | Navigateur | Réseau / edge CDN | Réseau | Réseau | Basée sur des défis |
| Identification des agents nommés | Oui | Oui (4 catégories) | Oui (SATORI) | Oui | Oui |
| Détection des agents inconnus | Oui (comportemental) | Partiel (signaux réseau) | Partiel | Partiel | Partiel |
| Analyse des empreintes du navigateur | Oui | Non | Non | Non | Non |
| Analyse des modèles d'interaction de l'interface | Oui | Non | Non | Non | Non |
| Détection des anomalies de synchronisation | Oui | Non | Non | Non | Non |
| Règles de gouvernance par page | Oui | Non | Non | Non | Non |
| Classification d'intention de session | Oui | Non | Oui (niveau session) | Non | Non |
| Liste d'autorisations pour le commerce agentique | Oui | Non | Oui | Non | Non |
| Gestion des files d'attente pour événements à haute demande | Non | Oui (Priority Protect) | Non | Non | Non |
| Vérification cryptographique des agents | Non | Oui (KYA / Web Bot Auth) | Oui (Verified AI Agent) | Non | Non |
| Application basée sur des défis | Non | Non | Non | Non | Oui |
| Inclusion dans le landscape Forrester (Q4 2025) | Non confirmé | Oui | Non confirmé | Non | Oui (Notable Vendor) |
| Tarifs transparents | Non | Oui | Non | Non | Non |
Comment Choisir : Cinq Questions d'Évaluation
Réponse rapide : Le cadre d'évaluation pour la gestion de confiance des bots et agents se résume à cinq questions sur votre modèle de menace, votre stack existant et votre stratégie de commerce agentique. Commencez par la question un avant d'évaluer un quelconque fournisseur.
1. Votre modèle de menace inclut-il des agents qui imitent des sessions de navigateur humaines ?
C'est la question seuil. Si votre équipe de fraude observe des anomalies au paiement, à la connexion ou à la création de comptes que les outils réseau n'expliquent pas, la réponse est probablement oui. Les agents de test de cartes, les bots de création de comptes et les scalpers sont de plus en plus conçus pour passer l'inspection réseau. La détection au niveau navigateur est la seule réponse architecturale à cette menace spécifique.
Si votre principale préoccupation est les crawlers LLM qui consomment de la bande passante ou scrappent du contenu, les outils de niveau réseau sont efficaces et plus simples à déployer.
2. Avez-vous besoin de gouverner les agents à des points spécifiques d'une session ?
Les tests de cartes se produisent au paiement. La fraude à la création de comptes se produit à l'inscription. Le scraping de contenu se produit sur les pages de produits et de tarifs. Si votre équipe d'opérations de fraude a besoin de règles différentes selon les types de pages, vous avez besoin d'une gouvernance par page. Cela nécessite une visibilité au niveau navigateur.
Les outils de niveau réseau appliquent des politiques par requête, pas par page dans une session.
3. Avez-vous besoin d'autoriser le passage de certains agents IA tout en en bloquant d'autres ?
Le commerce agentique est en croissance. Les agents de shopping opérant au nom d'utilisateurs réels sont des clients légitimes. Une plateforme qui ne peut que bloquer ou autoriser tous les agents IA créera des faux positifs qui éloigneront de vrais revenus.
cside et HUMAN Security AgenticTrust offrent tous deux une visibilité au niveau de la session sur l'intention des agents. Le score de confiance de DataDome donne aux agents commerciaux connus un score plus élevé. Kasada et Arkose Labs se concentrent davantage sur l'application que sur la gouvernance positive des agents.
4. Gérez-vous un cas d'utilisation d'inventaire à haute demande ou de billetterie ?
Si votre site organise des lancements de produits, des ventes de billets ou des ventes flash où les agents IA peuvent manipuler la position dans la file d'attente ou épuiser les stocks, Priority Protect de DataDome est la seule plateforme proposant actuellement une gestion de file d'attente dédiée pour ce cas d'utilisation. Les contrôles par page de cside peuvent restreindre le comportement des agents sur ces pages mais n'incluent pas de salle d'attente virtuelle.
5. La plateforme s'intègre-t-elle à votre stack de fraude existant ?
La gestion de confiance des bots et agents ne remplace pas les outils de fraude aux paiements, la vérification d'identité ou les opérations SOC. C'est une couche de détection et de gouvernance. Avant de vous engager avec une plateforme, confirmez comment elle expose les données de session à votre SIEM, plateforme de fraude ou tableau de bord opérationnel.
Foire Aux Questions
Qu'est-ce que le logiciel de gestion de confiance des bots et agents ?
Le logiciel de gestion de confiance des bots et agents identifie et analyse l'intention du trafic automatisé dirigé vers une application, en établissant des relations de confiance continues avec les bots et agents IA légitimes tout en bloquant ou redirigeant les malveillants. Forrester a officialisé le nom de la catégorie au quatrième trimestre 2025, reflétant le passage du blocage binaire des bots à la gouvernance d'environnements de trafic mixte humain et IA.
Quelle est la différence entre la détection au niveau réseau et au niveau navigateur ?
La détection au niveau réseau inspecte les en-têtes HTTP, les adresses IP, les empreintes TLS et les chaînes d'agent utilisateur avant qu'une requête n'atteigne l'application. La détection au niveau navigateur s'exécute dans la page, en observant les modèles d'interaction de l'interface, les anomalies de synchronisation, la cohérence des empreintes digitales et les séquences de requêtes réseau au niveau de la session. Les outils réseau ne peuvent pas voir ce que fait un agent une fois qu'il est à l'intérieur d'une page active. Les outils au niveau navigateur le peuvent.
Quels fournisseurs sont nommés dans le Forrester Bot and Agent Trust Management Software Landscape ?
Le Forrester Bot and Agent Trust Management Software Landscape Q4 2025 a nommé plusieurs fournisseurs dans la catégorie, dont DataDome et Arkose Labs comme inclusions confirmées. L'accès au landscape complet nécessite un abonnement Forrester. La définition de la catégorie est disponible publiquement sur le blog Forrester.
Le logiciel de gestion de confiance des bots et agents remplace-t-il ma protection existante contre les bots ?
Pas nécessairement. Certaines plateformes comme DataDome Agent Trust sont des extensions de produits de protection contre les bots existants, ajoutant la classification des agents par-dessus le blocage des bots au niveau réseau. D'autres comme cside opèrent au niveau navigateur et complètent plutôt que remplacent les outils de niveau réseau. La bonne architecture dépend de si votre modèle de menace inclut des agents qui imitent des sessions de navigateur humaines.
Que doit évaluer un RSSI lors du choix d'une plateforme de gestion de confiance des bots et agents ?
Cinq questions sont essentielles : (1) La plateforme détecte-t-elle les agents qui imitent des sessions de navigateur humaines, pas seulement les crawlers qui s'auto-identifient ? (2) Peut-elle classifier l'intention de l'agent plutôt que simplement son origine ? (3) Fournit-elle des règles de gouvernance par page pour les surfaces à haut risque comme le paiement et la connexion ? (4) Peut-elle autoriser le passage des agents de shopping vérifiés tout en bloquant les non vérifiés ? (5) S'intègre-t-elle à votre stack d'opérations de fraude existant sans nécessiter un remplacement complet ?
