Un article anonyme de Substack publié cette semaine accuse la startup de conformité Delve d’avoir « faussement » convaincu « des centaines de clients qu’ils se conformaient » aux réglementations en matière de confidentialité et de sécurité, exposant potentiellement ces clients à « une responsabilité pénale en vertu de la HIPAA et de lourdes amendes en vertu du RGPD ».
Delve est une startup soutenue par Y Combinator qui a annoncé l’année dernière une levée de fonds de série A de 32 millions de dollars pour une valorisation de 300 millions de dollars. (Le cycle a été mené par Insight Partners.) Vendredi, la startup a tenté de réfuter les accusations sur son blog, qualifiant le message de Substack de « trompeur » et affirmant qu’il « contient un certain nombre d’affirmations inexactes ».
Le message Substack est attribué à « DeepDelver », qui s’est décrit comme travaillant chez un (maintenant ancien) client Delve. En réponse aux questions envoyées par courrier électronique de TechCrunch, DeepDelver a déclaré qu’eux et leurs collaborateurs « ont choisi de rester anonymes par crainte de représailles de la part de Delve ».
Dans son message, DeepDelver raconte avoir reçu un e-mail en décembre affirmant que la startup avait « divulgué une feuille de calcul contenant des rapports clients confidentiels ». Alors que le PDG de Delve, Karun Kaushik, a apparemment assuré aux clients dans un e-mail ultérieur qu’ils étaient en conformité et qu’aucune partie externe n’avait accès aux données sensibles, DeepDelver a déclaré qu’eux-mêmes et d’autres clients étaient devenus méfiants.
« Ayant partagé l’expérience d’être déçus par l’expérience Delve et ayant le sentiment général que quelque chose de louche se passait, nous avons décidé de mettre en commun nos ressources et d’enquêter ensemble », ont-ils écrit.
Leur conclusion ? Que Delve « atteint sa prétention d’être la plate-forme la plus rapide en produisant de fausses preuves, en générant des conclusions d’audit au nom des usines de certification qui approuvent les rapports et en ignorant les principales exigences du cadre tout en disant aux clients qu’ils ont atteint une conformité à 100 % ».
DeepDelver a fourni des détails considérables sur ces affirmations, accusant la startup de fournir aux clients « des preuves fabriquées de réunions du conseil d’administration, de tests et de processus qui n’ont jamais eu lieu », forçant ensuite ces clients à « choisir entre adopter de fausses preuves ou effectuer un travail principalement manuel avec peu de véritable automatisation ou IA ».
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
DeepDelver a également affirmé que pratiquement tous les clients de Delve semblent avoir fait appel à deux cabinets d’audit, Accorp et Gradient, qu’ils ont décrits comme « faisant partie de la même opération », un cabinet qui opère principalement en Inde, avec seulement une présence nominale aux États-Unis.
Ces entreprises, disent-ils, ne font qu’approuver les rapports générés par Delve. En conséquence, DeepDelver a déclaré que la startup « inverse » la structure de conformité normale : « En générant des conclusions d’audit, des procédures de test et des rapports finaux avant tout examen indépendant, Delve se place à la fois dans le rôle d’exécutant et d’examinateur. Ce n’est pas une technicité. C’est une fraude structurelle qui invalide l’intégralité de l’attestation. »
En plus d’accuser Delve d’avoir induit ses clients en erreur, DeepDelver a déclaré que la startup aide ces clients à « induire le public en erreur en hébergeant des pages de confiance contenant des mesures de sécurité qui n’ont jamais été mises en œuvre ».
DeepDelver a déclaré que pendant que leur entreprise discutait de ses problèmes avec Delve, la startup « nous a envoyé plusieurs boîtes de beignets (…) pour nous satisfaire ». Néanmoins, l’employeur de DeepDelver aurait dépublié sa page de confiance et n’aurait plus de liens vers la startup pour des raisons de conformité.
Delve a répondu aux accusations en affirmant qu’elle ne publiait pas du tout de rapports de conformité. Il s’agit plutôt d’une « plateforme d’automatisation » qui ingère des informations sur la conformité, puis permet aux auditeurs d’accéder à ces informations.
« Les rapports et opinions finaux sont émis uniquement par des auditeurs indépendants et agréés, et non par Delve », a déclaré la société.
Delve a également déclaré que ses clients « peuvent choisir de travailler avec un auditeur de leur choix ou de travailler avec un auditeur du réseau Delve de cabinets d’audit tiers indépendants et accrédités ». Ces auditeurs, a déclaré la startup, sont « des sociétés établies largement utilisées dans l’ensemble du secteur, y compris par d’autres plateformes de conformité ».
En réponse à l’accusation selon laquelle il fournit à ses clients de « fausses preuves », Delve a rétorqué qu’il propose simplement « des modèles pour aider les équipes à documenter leurs processus conformément aux exigences de conformité, comme le font d’autres plateformes de conformité ».
« Les projets de modèles ne sont pas les mêmes que les « preuves pré-remplies » », a déclaré la société.
Delve a ajouté qu’il « enquêtait activement sur toute fuite » et qu’il « examinait toujours la sous-pile ».
Interrogé sur la réponse de Delve, DeepDelver a déclaré à TechCrunch qu’ils étaient « déconcertés par la paresse, la maladresse et l’audace de celle-ci ».
« Ils tentent de se frayer un chemin pour éviter d’être tenus pour responsables en niant avoir des « preuves pré-remplies », mais en les appelant plutôt des « modèles », rejetant ainsi la responsabilité sur les clients qui ont adopté les « modèles » tels quels », a déclaré DeepDelver. « Ils prétendent que ce n’est pas eux qui ‘émettent’ le rapport, ce qui est facile à affirmer si l’on définit l’émission d’un rapport comme le fait de donner le cachet final. »
Ils ont ajouté qu’il existe « un certain nombre d’allégations très graves » sur lesquelles Delve n’a pas du tout abordé : « L’accusation indienne, le manque d’IA (ils ne parlent que d’« automatisations ») et la page de confiance (mdr) contenant des contrôles qui n’ont jamais été mis en œuvre.
Apparemment, DeepDelver n’en a pas fini avec ses critiques, comme il l’a promis : « La deuxième partie suivra bientôt ».
De plus, à la suite de la publication initiale de Substack, un utilisateur X nommé James Zhou a déclaré avoir pu accéder à des informations sensibles de Delve, telles que la vérification des antécédents des employés et les calendriers d’acquisition des actions. Le fondateur de Dvuln, Jamieson O’Reilly, a partagé plus de détails sur ce que O’Reilly a dit être une conversation avec Zhou sur « plusieurs failles de sécurité béantes dans la surface d’attaque externe de Delve ».
TechCrunch envoie un e-mail demandant des commentaires supplémentaires à l’adresse de contact des médias indiquée sur le site Web de Delve. L’e-mail a rebondi, mais après la publication de cet article, j’ai reçu une invitation de calendrier pour une « démo Delve » plus tard cette semaine.
Cet article a été initialement publié le 21 mars 2026. Il a été mis à jour avec les réponses envoyées par courrier électronique de DeepDelver, des informations supplémentaires sur les prétendues vulnérabilités de sécurité fournies par Jamieson O’Reilly et des détails supplémentaires sur la réponse de Delve à TechCrunch.

