LinkedIn Tag
Webinaire à venir : cside x Chargebacks911 : Réduire les rétrofacturations et la fraude sur les pages de paiement

L'avenir de la sécurité web dépend du navigateur

Le runtime du navigateur est l'intermédiaire de chaque session entre votre site web <> clients, bots, agents IA et fraudeurs. Pourtant, il reste hors du périmètre de la sécurité web traditionnelle, créant une faille pour les attaquants et entraînant des pénalités de plusieurs millions pour les organisations.

Le risque lié à ce manque de visibilité a profondément changé avec la popularisation des agents IA. Les agents grand public peuvent être manipulés par des injections de code sur des scripts tiers compromis. Les agents malveillants sont peu coûteux à créer, contournent les défenses anti-bot historiques et amplifient chaque vecteur de fraude piloté par bots.

aperçu du rapport cside futur de la sécurité web 2026
aperçu du rapport cside futur de la sécurité web 2026

Dans ce rapport :

Nous avons testé des outils historiques de détection de bots. Ils ont échoué dans 81 % de nos tentatives.

Les discussions sur le trafic bot dans les forums ont augmenté de 275 % dans notre analyse.

Les bots IA "action utilisateur" ont été multipliés par 15 en 2025. Le trafic d'agents IA ne se limite plus à des "crawlers pour la recherche et l'entraînement des modèles LLM".

Des réponses à notre enquête auprès de développeurs web et de praticiens sécurité sur leur préparation à la fraude pilotée par agents IA.

Dans un monde de navigateurs furtifs hébergés localement, il faut combiner des signaux côté navigateur (fingerprinting, analyse comportementale, etc.) pour comprendre l'intention, pas seulement l'identité.

Accéder au rapport

Remplissez le formulaire pour accéder au rapport complet.

À qui s'adresse ce rapport

Équipes sécurité qui utilisent déjà des CSP mais veulent une méthode automatisée plus efficace pour surveiller l'activité des scripts tiers sur leur site.

Équipes fraude qui luttent contre les abus bots (scraping, card testing, abus de promotions, faux comptes), amplifiés par la fraude pilotée par agents IA.

Aperçu du rapport

Enquête sur une hausse des signalements de trafic bot

En janvier 2026, nous avons constaté quelque chose d'inhabituel dans nos analyses : un pic massif de trafic en provenance de Chine. Étrange. Notre configuration Cloudflare bloque totalement la Chine par géolocalisation. Après avoir durci les règles, le trafic depuis la Chine a disparu. Puis... des pics depuis la Norvège, Singapour et Hong Kong.

Nous avons mené une étude chiffrée pour vérifier s'il s'agissait d'une tendance plus large :

3.1 Forte hausse des discussions sur le trafic bot

⇧ 275%

Hausse des discussions en forum sur le trafic bot sur les sites web malgré les filtres déjà en place.

Les mesures préventives de base ont échoué :

  • • Blocage par pays : de nouveaux pays apparaissent (proxies rotatifs)
  • • Blocage user-agent : de nouveaux user-agents aux comportements similaires apparaissent.
  • • Règles WAF de base : généralement insuffisantes pour stopper cette hausse.

Les petits sites ont été touchés immédiatement :

  • • Les coûts serveurs sont devenus intenables à cause du volume de requêtes réseau
  • • Analytics "polluées" par les bots, faussant les métriques pub et funnel

Mesures de défense efficaces :

  • • Renforcer les règles WAF (peut nécessiter des plans supérieurs)
  • • Bloquer par langue (ex. zh-CN)
  • • Bloquer des ASNs spécifiques (ex. Tencent, Alibaba)

Comparaison janvier-mars 2025 vs janvier-mars 2026.
Sur les forums r/webdev, r/cloudflare et r/googleanalytics.
Analyse originale par cside. Données collectées via APIs publiques et revues manuellement.

Comment les développeurs web se préparent au trafic des agents IA

Nous avons demandé aux professionnels sécurité : "Vous préparez-vous aux agents IA comme nouvelle menace, ou les gérez-vous avec vos contrôles anti-bot existants ?"

enquête industrie cside préparation fraude agents IA
Graphique : enquête industrie cside sur la préparation à la fraude des agents IA
Graphique réponses enquête cside défenses contre fraude agents IA
Graphique réponses enquête cside défenses contre fraude agents IA

Les vecteurs de fraude bot existants seront amplifiés par les agents IA

Le Merchant Risk Council (dont les membres incluent des entreprises comme Airbnb et Blizzard) a indiqué qu'en 2025 les types de fraude de paiement les plus fréquents étaient :

  • Fraude de première partie (83 % des membres touchés)
  • Card testing (71 %)
  • Abus de remboursement (60 %)

Les agents IA amplifieront fortement chacun de ces vecteurs de fraude. Dans ce rapport, nous détaillons comment les signaux côté navigateur peuvent limiter cette hausse.

Réserver une démonstration