Un article anonyme de Substack cette semaine a accusé la startup de conformité Delve d’avoir « faussement » assuré « des centaines d’utilisateurs qu’ils étaient en conformité » avec les réglementations en matière de confidentialité et de sécurité, exposant potentiellement ces utilisateurs à « une responsabilité pénale en vertu de la HIPAA et de lourdes amendes en vertu du RGPD ».
Delve est une startup soutenue par Y Combinator qui a annoncé l’année dernière un tour de table de série A de 32 millions de dollars pour une valorisation de 300 millions de dollars. (Le tour a été mené par Insight Partners.) Vendredi, la startup a tenté de nier les allégations sur son blog, qualifiant le message de Substack d’”erroné” et affirmant qu’il “contient de nombreuses affirmations inexactes”.
Le message Substack revient à “DeepDelver”, qui s’est décrit comme travaillant avec le (maintenant ancien) client Delve. En réponse aux questions envoyées par courrier électronique à TechCrunch, DeepDelver a déclaré qu’eux et leurs employés “avaient choisi de rester anonymes par crainte de représailles de la part de Delve”.
Dans son message, DeepDelver a déclaré avoir reçu un e-mail en décembre indiquant que la startup avait « divulgué une feuille de calcul avec des comptes clients confidentiels ». Alors que le PDG de Delve, Karun Kaushik, a apparemment rassuré les clients dans un e-mail de suivi sur le fait qu’ils étaient en conformité et qu’aucune partie extérieure n’avait accédé aux données sensibles, DeepDelver a déclaré qu’eux-mêmes et d’autres clients étaient devenus méfiants.
“Compte tenu de l’expérience commune de ne pas être absorbé par l’expérience Delve et du sentiment commun que quelque chose de sinistre se passait, nous avons décidé de mettre en commun nos ressources et d’enquêter ensemble”, ont-ils écrit.
Leur conclusion ? que Delve « a atteint son objectif d’être la plate-forme la plus rapide en produisant de fausses preuves, en générant des rapports d’audit au nom des usines de certification qu’elle approuve automatiquement et en omettant les principales exigences du cadre tout en disant aux clients qu’ils ont atteint une conformité à 100 % ».
DeepDelver a approfondi les allégations de manière très détaillée, accusant la startup d’avoir induit les clients en erreur avec « des preuves falsifiées de réunions du conseil d’administration, de tests et de processus qui n’ont jamais eu lieu », les forçant ensuite à « choisir d’accepter de fausses preuves ou d’effectuer principalement un travail manuel avec peu de véritable automatisation ou intelligence artificielle ».
DeepDelver a également affirmé que presque tous les clients de Delve semblent avoir fait appel à deux cabinets d’audit, Accorp et Gradient, qu’ils ont décrits comme « faisant partie de la même opération » opérant principalement en Inde avec seulement une présence nominale aux États-Unis.
Ces entreprises, disent-ils, ne font qu’approuver les comptes générés par Delve. En conséquence, DeepDelver a déclaré que la startup « inverse » la structure de conformité normale : « En générant des rapports d’audit, des procédures de test et des rapports finaux avant qu’un examen indépendant n’ait lieu, Delve se met à la fois dans le rôle d’exécutant et d’examinateur. Ce n’est pas technique. C’est une fraude structurelle qui mine l’ensemble de l’attestation.
En plus d’accuser Delve d’avoir induit ses utilisateurs en erreur, DeepDelver a déclaré que la startup aide ces utilisateurs à “induire le public en erreur en hébergeant des pages de confiance contenant des mesures de sécurité qui n’ont jamais été mises en œuvre”.
DeepDelver a déclaré que pendant que leur entreprise résolvait ses problèmes avec Delve, la startup “nous a envoyé plusieurs boîtes de beignets (…) pour nous satisfaire”. Cependant, l’employeur de DeepDelver aurait supprimé sa page de confiance et ne compte plus sur la startup pour se conformer.
Delve a répondu aux allégations en affirmant qu’elle ne publiait pas du tout de rapports de conformité. Il s’agit plutôt d’une « plate-forme d’automatisation » qui capture les informations de conformité et permet ensuite aux auditeurs d’accéder à ces informations.
“Les rapports et opinions finaux sont émis uniquement par des auditeurs indépendants et agréés et non par Delve”, a indiqué la société.
Delve a également déclaré que ses clients « peuvent choisir de travailler avec un auditeur de leur choix ou de travailler avec l’un des réseaux de cabinets d’audit tiers indépendants et accrédités de Delve ». Ces auditeurs, selon la startup, sont « des sociétés établies et largement utilisées dans l’industrie, y compris par d’autres plateformes de conformité ».
En réponse aux accusations selon lesquelles elle fournit de « fausses preuves » aux clients, Delve a répondu qu’elle propose simplement « des modèles pour aider les équipes à aligner leurs processus sur les exigences de conformité, tout comme les autres plateformes de conformité ».
“Les modèles de projet ne sont pas les mêmes que les “preuves pré-remplies””, a déclaré la société.
Delve a ajouté qu’il « enquêtait activement sur toute fuite » et qu’il « examinait toujours Quest ».
Interrogé sur la réponse de Delve, DeepDelver a déclaré à TechCrunch qu’ils étaient “déroutés par sa paresse, sa maladresse et son arrogance”.
“Ils tentent d’éviter toute responsabilité en niant l’existence de ‘preuves pré-remplies’, mais en les appelant plutôt ‘modèles’, transférant ainsi la responsabilité aux utilisateurs d’obtenir les ‘modèles'”, a déclaré Deepdelver.
Ils ont ajouté qu’il existe “un certain nombre d’allégations très graves” auxquelles Delve ne répond pas du tout : “des accusations en Inde, un manque d’IA (ils ne parlent que d’”automatisation”) et une page de confiance (mdr) qui contient des contrôles qui n’ont jamais été mis en œuvre.”
Il semble que DeepDelver n’en ait pas fini avec sa critique, comme il l’a promis : « La deuxième partie suivra bientôt ».
De plus, après la publication originale de Substack, un utilisateur X nommé James Zhou a déclaré qu’il était en mesure d’accéder à des informations sensibles de Delve, telles que la vérification des antécédents des employés et les calendriers d’actionnariat. Le fondateur de Dvuln, Jamison O’Reilly, a partagé plus de détails sur ce que O’Reilly a dit lors d’une conversation avec Zhou à propos de “plusieurs failles de sécurité dans la surface d’attaque externe de Delve”.
TechCrunch a envoyé un e-mail sollicitant des commentaires supplémentaires à l’adresse de contact des médias indiquée sur le site Web de Delve. e-mail Le courrier a circulé, mais après avoir publié cet article, j’ai reçu une invitation de calendrier pour une démo Delve plus tard cette semaine.
Cet article a été initialement publié le 21 mars 2026. Il a été mis à jour avec les réponses par courrier électronique de DeepDelver à la prétendue vulnérabilité de sécurité fournie par Jamison O’Reilly, ainsi que des détails supplémentaires sur la réponse de Delve à TechCrunch.
