Les crawlers IA et le trafic machine-to-machine transforment en profondeur l’infrastructure web. Xavier Grégoire, porte-parole France de Fastly, partage ce qu’il observe depuis le « cœur de la machine » : e-commerce encore prudent, éditeurs en avance, bots omniprésents et coûts souvent sous-estimés.
SNC : Vous dites voir le cœur de la « machine ». Qu’est-ce que cela change dans votre lecture des usages IA et de l’agentic commerce ?
Xavier Grégoire : On fait de l’infrastructure web. Ça veut dire énormément d’ingénieurs très intelligents qui sont dans la soupe de l’Internet et qu’on ne voit pas. Personne ne sait que les sites web tournent grâce à des infrastructures comme les nôtres. Ce qui est peut-être plus difficile à voir de l’extérieur, c’est le cœur de la machine. Nous, c’est ça qu’on voit. Si on regarde l’agentic commerce, j’aimerais vous dire que tout le monde est déjà en train d’y aller, que c’est en train de se passer partout. La réponse, c’est non. Dans notre réalité objective, ce sont encore surtout des expérimentations.
Où en sont les acteurs du e-commerce face à ces mutations ?
X. G. : Il y a une grosse transformation des plateformes. L’e-commerce peut représenter 20 %, 50 % du chiffre d’affaires. C’est un business suffisamment important pour y investir. Des acteurs comme Shopify proposent un modèle très simplifié. Les grandes entreprises vont vers des plateformes plus configurables, font de l’omnicanal. C’est une vraie complexité : parcours client, systèmes, opération 24/7.
Sur Internet, le magasin est toujours ouvert. Il faut une plateforme hyper solide.
Ce qu’on voit énormément, ce sont des attaques classiques : du credential stuffing acheté sur le dark web qui vient bourriner. On ne voit pas encore vraiment d’agents évolués qui exploitent ces parcours omnicanaux. Aujourd’hui, la moitié du trafic, ce sont des bots. Tout le monde se gratte la tête pour comprendre si ce sont des good bots ou des bad bots. Mais ça dépend du business model. Je me rappellerai toujours d’un client (une agence de voyage) qui accepte pas mal les bots parce que leur modèle est basé sur la conversion. À l’inverse, des marques de baskets haut de gamme veulent tout bloquer pour éviter le marché gris.
Les éditeurs semblent plus avancés sur ces sujets ?
X. G. : Les publishers sont les plus avancés. Leur modèle est remis en cause dans des proportions hyper élevées. Pourquoi payer des journalistes si des crawlers viennent pomper l’information ? Ils ont dû passer à un modèle où il faut reconnaître les bots, déterminer lesquels sont légitimes ou non. Est-ce que c’est un bon profil de bot ou juste quelqu’un qui scrape le contenu pour le revendre derrière ?
Cette maturité existe dans le publishing. Elle n’existe pas encore autant dans le commerce.
Vous évoquez des stratégies de « déception » face aux bots. Concrètement, qu’est-ce que cela signifie ?
X. G. : On est un peu comme des gamins qui jouent au policier et au bandit. On fait pas mal de stratégies de déception. Quelqu’un achète un million de login/password sur le dark web et essaie de se connecter ? Au lieu de bloquer immédiatement, on peut lui donner de fausses informations. Sur le pricing, on peut renvoyer les prix de la semaine dernière pour les scrapers. Lui faire perdre du temps et c’est un vrai coût pour eux. En face, ce sont des organisations professionnelles. Ils ont leurs propres infrastructures.
On se bat contre des structures organisées.
L’essor des usages IA change-t-il la nature du trafic ?
X. G. : Ce qui a fait grossir Internet, c’est la vidéo. Puis le streaming. Ensuite les jeux vidéo. Aujourd’hui, un pic de trafic, ce n’est plus le Super Bowl, c’est Fortnite. La prochaine génération de croissance, c’est le machine-to-machine. Les modèles sont lourds, complexes. Ça demande des investissements massifs. Pour nous, ce sont des datasets sur nos grands réseaux. Le vrai sujet, c’est la latence. Les modèles sont entraînés dans le cloud, mais les applications doivent être accélérées côté edge.
C’est pour ça que Fastly a été monté : invalider un cache en 150 millisecondes partout dans le monde.
Quand il y a une news, il faut qu’elle soit immédiatement déployée. On voit aussi des usages inefficients. Des prompts envoyés à des LLM pour des questions répétitives. On travaille sur du cache sémantique. Si tout le monde pose la même question, on a déjà la réponse. L’edge est vraiment un endroit pour optimiser la consommation des ressources, améliorer l’expérience utilisateur et avoir une porte d’entrée dès le début.
Ces nouveaux usages imposent-ils un rapprochement entre Dev, Sec et Infra ?
X. G. : Quand j’ai commencé les équipes infra décidaient. Les équipes sécurité intervenaient à la fin. Aujourd’hui, avec l’infra as code, les développeurs ont la main. Les équipes sécurité doivent être intégrées plus tôt. Les boîtes les plus avancées ont des équipes pluridisciplinaires. Dans les réunions, on a toujours les équipes sécurité, ingénierie et infra. Plus le système est intégré, moins il y a de territoires exposés entre les silos.
Avoir des crawlers sur vos infrastructures toute la journée, ça pompe des ressources. Je pense que beaucoup d’entreprises n’en ont pas encore complètement conscience.
À horizon 2026, quels sont les risques sous-estimés ?
X. G. : Il y a un sujet énorme sur le coût des crawlers. On parle de centaines de milliers de dollars très rapidement. Ce n’est même pas l’exposition au risque, juste la nuisance. Sur la cybersécurité, je pense que beaucoup sont encore dans un modèle statique : mettre un vigile à la porte de la boîte de nuit. Les nouveaux RSSI doivent comprendre l’environnement global, avoir une vision 360, être invités au comité d’administration.
