Une requête web sur cinq est désormais générée par une machine. Selon le premier Edge Security Report de bunny.net, basé sur l’analyse de 42,5 milliards de requêtes traitées entre janvier et mai 2026, les crawlers IA dépassent pour la première fois les bots des moteurs de recherche traditionnels, tandis que les attaques applicatives atteignent des records historiques.
Le basculement était attendu, le voici documenté chiffres à l’appui. Entre janvier et mai 2026, bunny.net a observé une hausse de 53 % du trafic global sur son réseau edge mondial, portée en grande partie par l’automatisation. Les requêtes générées par des bots, crawlers ou systèmes pilotés par API représentent désormais environ 20 % de l’ensemble du trafic analysé. Les bibliothèques HTTP comme curl, Python requests ou Go HTTP Client pèsent à elles seules 19 % des requêtes totales, un volume supérieur à celui de toutes les catégories de bots répertoriées réunies.
Les crawlers IA passent devant les moteurs de recherche
Le signal le plus marquant du rapport concerne la bascule des usages. Pour la première fois, les crawlers IA génèrent plus de trafic que les bots traditionnels des moteurs de recherche : 0,54 % de l’ensemble des requêtes contre 0,50 %. Derrière ce chiffre, un acteur domine largement le classement. Bytespider, développé par ByteDance, concentre près de la moitié du trafic généré par les crawlers IA, devançant à lui seul les volumes cumulés d’OpenAI, Anthropic et Google.
Pour Dejan Grofelnik Pelzel, fondateur et CEO de bunny.net, ce basculement change la donne pour les équipes sécurité. L’activité générée par des agents automatisés dépasse désormais le trafic humain, ce qui réduit les obstacles pour les attaquants et facilite l’identification de faiblesses ainsi que le ciblage des applications à grande échelle. Il insiste sur un point : ces menaces ne se limitent pas aux grandes organisations, elles concernent toutes les structures qui développent et exploitent des services en ligne, quels que soient leurs moyens.
Des attaques applicatives toujours aussi virulentes
Cette automatisation massive s’accompagne d’une intensification des cyberattaques. bunny.net a enregistré sur la période la plus importante attaque DDoS de couche 7 de son histoire, avec un pic de 16,5 millions de requêtes par seconde provenant de plus de 392 000 adresses IP distribuées. Côté volumétrique, l’attaque la plus massive en couches 3/4 a atteint 4,2 Tbps. Les deux ont été neutralisées à l’edge, sans dégradation de service.
Les attaques applicatives plus classiques n’ont pour autant pas disparu. Les injections, qu’il s’agisse d’injections SQL, de cross-site scripting (XSS) ou d’exécution de code à distance, représentent 45,5 % de l’ensemble des requêtes bloquées par les pare-feux applicatifs. Les tentatives d’inclusion de fichiers locaux comptent pour un quart des attaques stoppées, tandis que la faille Log4Shell, révélée il y a plus de quatre ans, continue de générer une activité significative avec plus de 184 000 événements de sécurité détectés sur la période.
Pour Joe Connolly, Head of Content Delivery & Security chez bunny.net, ces résultats actent l’obsolescence des modèles de sécurité isolés, conçus serveur par serveur. Face à un trafic de plus en plus automatisé et des attaques distribuées et pilotées par des machines, il devient nécessaire de rapprocher les mécanismes de protection du point où le trafic est généré, afin de prévenir l’épuisement des ressources, les abus d’identifiants et les attaques applicatives avant qu’elles n’atteignent les infrastructures backend.
