Un post anonyme publié sur Substack cette semaine accuse la startup de conformité Delve d’avoir « faussement » convaincu « des centaines de clients qu’ils étaient conformes » aux régulations en matière de privacy et de sécurité, ce qui aurait pu exposer ces clients à des « responsabilités pénales en vertu de la HIPAA et à des amendes conséquentes en vertu du RGPD. »
Delve, soutenue par Y Combinator, a annoncé l’année dernière avoir levé 32 millions de dollars lors d’un tour de table de Série A, avec une valorisation de 300 millions de dollars. (Ce tour a été dirigé par Insight Partners.) Vendredi, la startup a tenté de réfuter les accusations sur son blog, qualifiant le post sur Substack de « trompeur » et affirmant qu’il contenait « de nombreuses inexactitudes ».
Le post est signé par “DeepDelver”, qui se décrit comme un ancien client de Delve. En réponse à des questions par email posées par TechCrunch, DeepDelver a déclaré que lui et ses collaborateurs « ont choisi de rester anonymes par crainte de représailles de la part de Delve. »
Dans leur article, DeepDelver raconte avoir reçu un email en décembre affirmant que la startup avait « diffusé une feuille de calcul contenant des rapports clients confidentiels. » Bien que le PDG de Delve, Karun Kaushik, ait apparemment assuré aux clients dans un email ultérieur qu’ils étaient conformes et qu’aucune partie externe n’avait eu accès à des données sensibles, DeepDelver a indiqué que lui et d’autres clients avaient commencé à devenir méfiants.
« Ayant l’expérience partagée d’un service décevant avec Delve et le sentiment global que quelque chose d’inapproprié se produisait, nous avons décidé de rassembler nos ressources et d’enquêter ensemble », écrivent-ils.
Leur conclusion? Que Delve « atteint sa prétention d’être la plateforme la plus rapide en produisant de fausses preuves, en générant des conclusions d’auditeurs au nom d’organismes de certification qui apposent des tampons sur des rapports, et en contournant les exigences majeures tout en affirmant à ses clients qu’ils ont atteint 100% de conformité. »
DeepDelver a également détaillé ces accusations, affirmant que la startup fournissait à ses clients « de fausses preuves de réunions de conseil, de tests, et de processus qui n’ont jamais eu lieu », les obligeant ensuite à « choisir entre adopter de fausses preuves ou effectuer principalement un travail manuel avec peu d’automatisation ou d’IA réelle. »
Selon DeepDelver, presque tous les clients de Delve semblent avoir été passés par deux cabinets d’audit, Accorp et Gradient, qu’ils décrivent comme « faisant partie de la même opération », principalement basée en Inde avec seulement une présence nominale aux États-Unis.
Ces entreprises, affirment-ils, se contentent d’apposer des tampons sur les rapports générés par Delve. Cela conduit DeepDelver à affirmer que la startup « inverse » la structure normale de conformité : « En générant des conclusions d’auditeurs, des procédures de test et des rapports finaux avant toute évaluation indépendante, Delve se positionne à la fois en tant qu’implémenteur et examinateur. Ce n’est pas un détail. C’est une fraude structurelle qui invalide toute l’attestation. »
En plus de ces accusations, DeepDelver avance que Delve aide ses clients à « induire le public en erreur en hébergeant des pages de confiance contenant des mesures de sécurité qui n’ont jamais été mises en œuvre. »
DeepDelver a aussi mentionné que pendant que leur entreprise discutait de ses problèmes avec Delve, la startup leur a « envoyé plusieurs boîtes de donuts […] pour les garder contents. » Néanmoins, l’employeur de DeepDelver aurait désactivé sa page de confiance et ne compterait plus sur la startup pour la conformité.
Delve a réagi aux accusations en précisant qu’elle n’émet pas de rapports de conformité. Selon eux, ils sont une « plateforme d’automatisation » qui ingère les informations relatives à la conformité et fournit ensuite aux auditeurs un accès à ces informations.
« Les rapports finaux et les opinions sont émis uniquement par des auditeurs indépendants et accrédités, et non par Delve », a indiqué la société.
Delve a également souligné que ses clients « peuvent choisir de travailler avec un auditeur de leur choix ou opter pour un des auditeurs du réseau indépendant et accrédité d’audit de Delve. » Ces auditeurs, précise la startup, sont « des entreprises établies utilisées largement dans l’industrie, y compris par d’autres plateformes de conformité. »
En réponse à l’accusation de fournir des « fausses preuves », Delve a soutenu qu’elle offrait simplement « des modèles pour aider les équipes à documenter leurs processus en accord avec les exigences de conformité, comme le font d’autres plateformes de conformité. »
« Les modèles de brouillon ne sont pas la même chose que des ‘preuves pré-remplies’ », a souligné l’entreprise.
Delve a ajouté qu’elle « enquête activement sur d’éventuelles fuites » et qu’elle « continue de réexaminer le post sur Substack. »
Interrogé sur la réponse de Delve, DeepDelver a exprimé son « étonnement face à la paresse, la maladresse et la témérité de cette réaction. »
« Ils essaient de se faufiler hors des responsabilités en niant avoir des ‘preuves pré-remplies’ tout en appelant cela des ‘modèles’, déplaçant ainsi la culpabilité vers les clients pour avoir accepté les ‘modèles’ tels quels », a déclaré DeepDelver. « Ils prétendent ne pas être ceux qui ‘émettent’ le rapport, ce qui est facile à dire si l’on définit l’émission d’un rapport comme la fourniture du tampon final. »
Il a également ajouté qu’il y a « un certain nombre d’allégations très graves » que Delve n’a pas du tout abordées : « L’accusation vis-à-vis de l’Inde, le manque d’IA (ils parlent uniquement d’‘automatisations’), et la page de confiance (lol) contenant des contrôles qui n’ont jamais été mis en œuvre. »
Visiblement, DeepDelver n’en a pas fini avec ses critiques, promettant que « la Partie II suivra bientôt. »
De plus, après la publication du post sur Substack, un utilisateur de X nommé James Zhou a affirmé avoir pu accéder à des informations sensibles de Delve, telles que des vérifications d’antécédents des employés et des calendriers de financement en actions. Jamieson O’Reilly, fondateur de Dvuln, a partagé plus de détails sur ce qu’il a décrit comme une conversation avec Zhou sur « plusieurs failles de sécurité majeures dans la surface d’attaque externe de Delve. »
TechCrunch a envoyé un email à l’adresse de contact médiatique figure sur le site de Delve pour commenter. L’email a été renvoyé, mais après la publication de cet article, j’ai reçu une invitation à un « démo de Delve » plus tard cette semaine.
Points à retenir
- Des accusations sérieuses pèsent contre Delve concernant sa conformité aux normes de sécurité et de protection des données.
- Un ancien client a témoigné anonymement sur des pratiques douteuses de la startup.
- Delve réfute les allégations, affirmant qu’elle ne produit pas de rapports de conformité.
- Les accusations incluent la fourniture de fausses preuves et la manipulation de audits externes.
- DeepDelver a promis de poursuivre ses révélations dans un prochain post.
Penchons-nous sur la question de la transparence dans le domaine de la conformité. Il est essentiel, surtout dans un environnement numérique où les données personnelles sont précieuses, que les entreprises soient tenues responsables. Les mesures de sécurité doivent être constantes et authentiques. Quelles solutions devrions-nous envisager pour renforcer la confiance dans les startups comme Delve? Les discussions autour de la réglementation et de l’éthique doivent être prioritaires pour éviter de telles lacunes à l’avenir.