Delve – un faux service de conformité

 (deepdelver.substack.com)
1 points par GN⁺ 2026-03-21 | 1 commentaires | Partager sur WhatsApp
  • La plateforme Delve a été révélée comme étant exploitée comme un « système qui donne l’apparence de la conformité » sans véritables contrôles de sécurité
  • D’après une enquête interne et l’analyse de feuilles de calcul divulguées, les rapports d’audit, tests et conclusions étaient générés automatiquement par Delve, puis signés de manière purement formelle par des organismes de certification basés en Inde
  • Les clients adoptaient de fausses preuves, de faux comptes rendus de réunion et des documents de politique préremplis automatiquement, ce qui les faisait apparaître comme certifiés SOC 2, ISO 27001, HIPAA et GDPR
  • Delve met en avant une automatisation basée sur l’IA, mais il s’agit en réalité d’un système de formulaires centré sur la saisie manuelle et l’envoi de captures d’écran, et la plupart des fonctions d’« intégration » ne fonctionnent pas
  • En conséquence, des centaines d’entreprises publient à l’extérieur un état de sécurité mensonger et s’exposent à des risques de violation du HIPAA, du GDPR et à des responsabilités juridiques

Les problèmes structurels de Delve et les principales révélations

  • Delve était présenté comme une plateforme d’automatisation de la conformité pour SOC 2, ISO 27001, HIPAA et GDPR, mais en pratique, l’entreprise viole le principe d’indépendance de l’audit en rédigeant elle-même les conclusions d’audit
    • Les brouillons de rapports d’audit contenaient déjà les conclusions et procédures de test rédigées par Delve, et les clients n’avaient plus qu’à renseigner le nom, la signature et les schémas
    • Tous les rapports partagent la même structure de phrases et les mêmes fautes de frappe, et plus de 99 % des 575 documents contiennent un texte identique
  • Une feuille de calcul Google divulguée contenait des liens vers les rapports d’audit de centaines de clients, exposant des informations sensibles comme des signatures personnelles et des schémas système
    • Le CEO de Delve a affirmé qu’il s’agissait de « faux e-mails générés par l’IA », mais les documents réels ont été vérifiés dans une archive publique

Violation de l’indépendance de l’audit et faux système d’audit

  • Delve joue directement le rôle d’auditeur, en violation des règles de l’AICPA
    • Les conclusions d’audit sont rédigées à l’avance, rendant impossible toute vérification indépendante
    • Des organismes de certification basés en Inde, Accorp, Gradient, BQC et Glocert, signaient les rapports via des coquilles de sociétés américaines
    • Certains rapports contenaient des numéros de licence d’auditeur erronés, ce qui confirme l’hypothèse d’une duplication depuis un même modèle
  • Jayshree Dutta, présentée comme responsable d’audit, n’est pas CPA aux États-Unis et a été identifiée comme appartenant aux sociétés indiennes CyberTryZub et BQC

Le caractère factice du produit et des processus

  • L’« automatisation par IA » de Delve est en réalité un système manuel basé sur des formulaires avec très peu de véritable IA
    • La plupart des « intégrations » exigent uniquement l’envoi de captures d’écran, sans procédure d’authentification
    • Les politiques, évaluations de risques et simulations de sécurité sont constituées de modèles avec des valeurs par défaut déjà remplies, qu’il suffit de valider par clic
  • Le module Pathways était présenté comme un développement interne de Delve, mais il a été établi qu’il utilisait sans autorisation l’open source SimStudio
  • Les clients devaient adopter de faux comptes rendus de réunion, de faux résultats de tests de sécurité et de faux documents de politique, et en cas de refus, ils devaient effectuer manuellement la majeure partie du travail

Faux rapports et manipulation des pages de confiance

  • La Trust Page de Delve marque comme « terminés » des contrôles de sécurité qui n’ont en réalité jamais été mis en œuvre
    • Sur 322 clients SOC 2, 321 utilisent les mêmes 51 éléments de contrôle
    • Des mesures de sécurité inexistantes comme le MDM, la détection d’intrusion, les sauvegardes ou la suppression des données sont automatiquement indiquées comme en place
  • Les rapports SOC 2 Type II indiquent que tous les critères, notamment « sécurité, disponibilité, confidentialité et vie privée », sont satisfaits, alors qu’en réalité un seul point relatif à la sécurité est testé
    • Tous les rapports se terminent à l’identique par la formule « No exceptions noted »

Risques réglementaires et juridiques

  • Les faux processus de Delve placent ses clients dans une situation de violation du GDPR et du HIPAA
    • Une violation du HIPAA peut entraîner des poursuites pénales, et une violation du GDPR peut mener à une amende pouvant atteindre 4 % du chiffre d’affaires mondial
    • Des entreprises traitant des données médicales ou liées à la défense sont également concernées, ce qui crée un risque de niveau sécurité nationale
  • Les clients de Delve ont, sans le savoir, soumis à des tiers de faux rapports de certification, ce qui peut engager leur responsabilité contractuelle et réputationnelle

Conclusion et recommandations

  • Delve constitue un cas d’industrialisation d’une « fausse automatisation de la conformité », exposant ses clients à des risques juridiques
  • Les clients existants devraient consigner par écrit toutes les communications avec Delve et demander des clarifications sur la génération des audits, l’indépendance des auditeurs et l’étendue de la fuite de données
  • Le prétendu « processus de confiance basé sur l’IA » de Delve n’est rien d’autre qu’un système formel de génération documentaire, sans véritable capacité de vérification de sécurité
  • Cette affaire illustre l’effondrement de la confiance dans le marché de l’automatisation de la conformité et remet en lumière l’importance des audits indépendants et de contrôles de sécurité effectifs

À lire aussi

1 commentaires

 
GN⁺ 2026-03-21
Réactions sur Hacker News

  • Beaucoup de startups ont la particularité d’avancer vite avec de petites équipes
    Si elles créent un bon produit, les grandes entreprises veulent s’y abonner, mais cela implique alors une procédure de certification
    Les checklists sont utiles, mais elles sont trop alignées sur une bureaucratie à l’européenne
    On se retrouve à répondre à des questions du type « Où est le registre des risques d’une entreprise de 7 personnes ? », et à passer son temps sur de la paperasse au lieu de faire son vrai travail
    On finit par produire des documents que personne ne lira, à inventer des processus qui n’existent pas, et à traduire une entreprise agile dans le langage d’un immense groupe
    Il faut des standards pratiques et proportionnés adaptés aux petites équipes

    • Tout à fait d’accord. Mais je me demande si les grandes entreprises n’auraient pas au contraire un avantage concurrentiel si elles appliquaient ces standards de façon plus intelligente
      Ma boîte fait partie du Fortune 500, et notre processus d’achat est tellement complexe qu’il est difficile d’adopter du SaaS
      À l’inverse, nos concurrents ont des procédures plus souples et sécurisent rapidement de bons fournisseurs. Ce type d’écart finit par se traduire en avantage compétitif
    • Je trouve que CIS Controls v8.1 est réaliste et réellement utile pour la sécurité
      Le Level 1 est une bonne base, et le Level 2 peut être appliqué de façon sélective selon le risque métier
      Les CIS Benchmarks valent aussi le détour. C’est un ensemble de bonnes pratiques pour la sécurité du cloud, du SaaS et des OS
    • Si l’équipe n’est pas prête, elle ne devrait pas essayer de forcer le passage d’une due diligence
    • Le but d’une entreprise, au fond, c’est de générer du profit
      Si ce « théâtre corporate » mène à des revenus, alors cela fait aussi partie du business
      Si on ne fournit pas le produit de la manière exigée par les clients, on finit par être éliminé du marché
    • Je pense que ces procédures de certification complexes sont des dispositifs conçus pour permettre à certains acteurs de contrôler l’accès aux clients
      Ceux qui contrôlent les checklists sont ceux qui en tirent profit

  • La compliance n’est pas si difficile si on y consacre vraiment le temps nécessaire sans chercher de raccourci
    Je pense qu’AWS est un vrai fournisseur de CaaS (Compliance as a Service)
    Avec AWS Artifact, AWS aide ses clients à passer plus facilement des processus de certification complexes
    Bien sûr, le logiciel et les politiques restent de la responsabilité de l’utilisateur, mais la sécurité physique, la gestion du matériel, la reprise après sinistre, etc., sont en pratique fournies « gratuitement »

    • Cela vaut non seulement pour AWS, mais aussi pour tous les grands fournisseurs cloud
      En revanche, comparé à un simple fournisseur d’infrastructure comme Hetzner, le surcoût est assez important

  • Je me demande quelle est la probabilité que des fondateurs d’une vingtaine d’années veuillent s’attaquer avec passion au problème des audits de compliance
    C’est un domaine tellement ennuyeux qu’il est difficile d’y trouver de l’intérêt. Ou bien est-ce simplement à cause de l’opportunité ?

    • Résoudre des problèmes ennuyeux, c’est justement la base d’une startup
      On dit souvent que ce sont les problèmes qui ont l’air ordinaires qui rapportent de l’argent
      Comme dans le texte de Joel Spolsky, « Where there’s muck, there’s brass »
    • Je travaille dans une entreprise qui développe des logiciels sur mesure pour des secteurs régulés
      D’excellents ingénieurs dans la vingtaine y développent de la surveillance de Compliance Management System
      Ils utilisent l’IA pour résoudre de vieux problèmes métier. Sur la côte Est des États-Unis, il y a un gros marché dans la banque, l’électricité, la santé, etc.
    • Plus que la passion, je pense qu’il y a beaucoup de jeunes dans la vingtaine qui ont surtout envie de gagner de l’argent
    • Je suis aussi dans ce secteur, et le domaine est vraiment sec et peu passionnant
      Heureusement, la partie technique est intéressante
      Du point de vue du client, la compliance est tellement pénible que la moindre automatisation apporte une énorme valeur
    • Cela ressemble à une sorte de nouveau modèle de conseil
      On rassemble des jeunes brillants, on lève des fonds au nom de la promesse de « transformer l’industrie »
      C’est un peu comme des consultants McKinsey qui tirent leur influence davantage de leur nom de marque que du travail lui-même
      YC semble jouer un rôle similaire

  • Même si ce texte était une attaque venue d’un concurrent, les preuves présentées sont extrêmement solides
    Si c’était faux, les dommages pour diffamation se chiffreraient en dizaines de millions de dollars
    Je respecte le courage qu’il a fallu pour publier une telle révélation

  • Il est intéressant de voir que l’auteur et son réseau ne soulèvent le problème qu’une fois que leurs certifications ont été déclarées invalides
    Maintenant, ils se présentent comme de nobles justiciers qui auraient « démasqué Delve »

  • J’ai vécu ce processus directement
    Je pense que l’échec fondamental vient du fait que l’organisme certificateur a délivré des certificats sans vérification, en échange d’argent
    Des intermédiaires comme Delve n’ont fait qu’amplifier cet échec
    Toute personne du secteur savait qu’il s’agissait simplement de security theater

  • La profondeur de l’article était impressionnante
    Nous regardions aussi Drata récemment, et au début cela paraissait plutôt convaincant
    Mais chaque fois qu’une affaire comme celle-ci éclate, on se demande combien d’arnaques encore inconnues existent encore

  • Le seul but d’un test, c’est de détecter les échecs
    Dans une ambiance où tout le monde se contente de suivre le mouvement, c’est rafraîchissant de voir ce genre de problème être signalé publiquement

  • J’ai vu ce texte sur LinkedIn, et c’était vraiment intéressant
    Pour un article aussi fouillé, je pense qu’il devrait déjà être en haut de HN

    • Il a probablement été délibérément sous-exposé
      C’est plausible quand on se rappelle qu’ici, c’est le site de Y Combinator
      Certaines entreprises que je connais auraient obtenu via Delve un rapport SOC 2 Type 2 en 5 jours
      Elles reprennent même tel quel le slogan marketing « SOC 2 in days ». Difficile à croire

  • La compliance est quelque chose que personne ne veut, mais dont tout le monde a besoin
    Au final, elle est perçue comme un service de transfert de responsabilité
    Si le régulateur pose une question, il suffit de montrer un certificat émis par une boîte comme Delve, et l’affaire est réglée

    • Je n’aimerais pas travailler dans un endroit comme ça
      Un fournisseur SaaS devrait avoir le sens des responsabilités nécessaire pour protéger les données de ses clients
      Les frameworks de compliance sont des outils qui aident cet effort
      Ils servent à identifier les écarts, comprendre les risques, piloter les améliorations et expliquer notre niveau à nos partenaires
      Ce qui est décrit dans l’article Medium n’est rien d’autre qu’une fraude
      En tant que fondateur, je veux offrir à mes clients le plus haut niveau de confiance possible
    • Personne n’a spontanément envie de payer ses impôts ou de faire sa lessive, mais ce sont des choses qu’il faut faire
      La compliance, c’est pareil
    • Quand j’étais dans la cybersécurité, c’était similaire
      La plupart du temps, on nous embauchait moins pour améliorer la sécurité que pour satisfaire à des exigences d’assurance
      Au final, c’était aussi une manière de transférer la responsabilité
    • On dirait une remarque de quelqu’un qui ne connaît pas le B2B
      En pratique, beaucoup de fondateurs entendent sans arrêt : « On voudrait acheter votre produit, mais on ne peut pas à cause de l’absence de certification »
      Alors ils se lèvent le matin en se disant : « Aujourd’hui, il faut décrocher la certification XYZ-123 »
      La compliance n’est pas un moyen de se défausser, c’est la condition minimale pour prouver sa fiabilité au client
      Tout jeu qui en vaut la peine a un droit d’entrée (table stakes)
    • Personne n’a envie de faire de la compliance de son plein gré, mais
      si on a créé une entreprise avec des obligations légales et morales, c’est une responsabilité qu’on doit assumer soi-même
      La refiler à une autre entreprise est irresponsable