Les bots malveillants prolifèrent sur internet et représentent aujourd’hui plus de 30 % du trafic internet mondial. Ces bots, également appelés robots informatiques, sont fréquemment utilisés par les cybercriminels pour cibler les entreprises en ligne et mener différents types de fraudes et de cyber attaques. Pour les entreprises, les conséquences de ces attaques peuvent aller de la perturbation des opérations commerciales en ligne et la dégradation de l’expérience utilisateur, jusqu’à la fuite de données client. De plus, elles peuvent engendrer des pertes financières et des dommages à la réputation pour les entreprises ayant subi ces attaques.

Pour mieux comprendre comment les entreprises françaises se défendent contre ces bots malveillants, DataDome a testé près de 1 200 des plus grands sites web basés en France dans divers secteurs, tels que la banque, la billetterie, le commerce électronique et les médias. Les résultats de cette étude mettent en lumière l’état actuel de la protection contre les bots dans différents secteurs et en fonction de la taille des entreprises. Ils exposent également les variations de performances des différents systèmes de détection de bots, ainsi que l’efficacité des CAPTCHA traditionnels en tant que mécanisme de défense.

Il en ressort notamment qu’une majorité significative des entreprises numériques basées en France sont insuffisamment protégées contre les attaques de bots, y compris les bots les moins sophistiqués. Les principales conclusions de cette étude sont les suivantes :

72 % des sites web français testés ne sont pas protégés contre les attaques de bots non sophistiqués.
• Seulement 11,3 % des sites ont réussi à bloquer toutes les requêtes de bots.
• 16,5 % ont détecté et bloqué certains bots, mais pas tous.
• 72,1 % n’ont détecté aucun des bots testés.

Les sites de billetterie sont les plus exposés aux attaques de bots.
• Plus de 3 sites web sur 4 dans la catégorie des coupons/billetterie ont laissé passer tous les bots.
• Les sites d’e-commerce sont également très vulnérables : près de 3 sites sur 4 dans cette catégorie ont échoué à tous les tests, et moins de 10 % d’entre eux ont réussi à détecter tous nos bots.
• Les sites des médias sont les mieux protégés, mais seulement 30 % d’entre eux ont réussi à détecter toutes les requêtes de test effectuées par nos bots.

La taille des entreprises a peu d’importance.
• Dans l’échantillon de DataDome, 77 % des entreprises comptant 50 employés ou moins étaient sans protection.
• Parmi toutes les entreprises comptant moins de 1 000 employés, moins de 13 % ont réussi à identifier et à bloquer tous les bots.
• Les grandes entreprises s’en sont tout juste un peu mieux sorties. Même parmi les entreprises comptant plus de 10 000 employés, les deux tiers ont laissé passer toutes les requêtes de bots.

Les CAPTCHA se révèlent inefficaces.
• Parmi les 234 sites web équipés uniquement d’un outil CAPTCHA, moins de 8 % ont détecté et bloqué tous les bots.
• Sur 76 % des sites web, les outils CAPTCHA n’ont pas réussi à détecter un seul bot.

Les bots les plus "performants" (du point de vue de l’attaquant) sont les faux bots Chrome.
• Seuls 15 % des faux bots Chrome de DataDome ont été détectés, démontrant un niveau élevé de risque pour les attaques DDoS de la couche 7, la fraude par account takeover et d’autres menaces automatisées ciblant les entreprises en ligne en France.
• 84 % des bots non sophistiqués basés sur Curl n’ont pas été détectés.
• 75 % des faux bots Google (Googlebots) n’ont pas été détectés.

Antoine Vastel, responsable de la recherche chez DataDome, commente : « Les bots deviennent de plus en plus sophistiqués chaque jour, et les entreprises numériques en France ne sont visiblement pas préparées aux dommages financiers et à la réputation que peuvent causer ces attaques. Du scalping de billets et de l’accumulation de stocks à la fraude par usurpation de comptes, les bots malveillants sèment le chaos tant chez les consommateurs que chez les entreprises. Les entreprises qui ne gèrent pas habilement les bots malveillants courent le risque de subir des dommages considérables à leur réputation, tout en exposant leurs clients à des risques inutiles. Elles doivent agir dès maintenant pour se protéger contre cette menace croissante. »