Delve – un faux service de conformité

• La plateforme Delve a été révélée comme étant exploitée comme un « système qui donne l’apparence de la conformité » sans véritables contrôles de sécurité
• D’après une enquête interne et l’analyse de feuilles de calcul divulguées, les rapports d’audit, tests et conclusions étaient générés automatiquement par Delve, puis signés de manière purement formelle par des organismes de certification basés en Inde
• Les clients adoptaient de fausses preuves, de faux comptes rendus de réunion et des documents de politique préremplis automatiquement, ce qui les faisait apparaître comme certifiés SOC 2, ISO 27001, HIPAA et GDPR
• Delve met en avant une automatisation basée sur l’IA, mais il s’agit en réalité d’un système de formulaires centré sur la saisie manuelle et l’envoi de captures d’écran, et la plupart des fonctions d’« intégration » ne fonctionnent pas
• En conséquence, des centaines d’entreprises publient à l’extérieur un état de sécurité mensonger et s’exposent à des risques de violation du HIPAA, du GDPR et à des responsabilités juridiques

Les problèmes structurels de Delve et les principales révélations

• Delve était présenté comme une plateforme d’automatisation de la conformité pour SOC 2, ISO 27001, HIPAA et GDPR, mais en pratique, l’entreprise viole le principe d’indépendance de l’audit en rédigeant elle-même les conclusions d’audit
  • Les brouillons de rapports d’audit contenaient déjà les conclusions et procédures de test rédigées par Delve, et les clients n’avaient plus qu’à renseigner le nom, la signature et les schémas
  • Tous les rapports partagent la même structure de phrases et les mêmes fautes de frappe, et plus de 99 % des 575 documents contiennent un texte identique
• Une feuille de calcul Google divulguée contenait des liens vers les rapports d’audit de centaines de clients, exposant des informations sensibles comme des signatures personnelles et des schémas système
  • Le CEO de Delve a affirmé qu’il s’agissait de « faux e-mails générés par l’IA », mais les documents réels ont été vérifiés dans une archive publique

Violation de l’indépendance de l’audit et faux système d’audit

• Delve joue directement le rôle d’auditeur, en violation des règles de l’AICPA
  • Les conclusions d’audit sont rédigées à l’avance, rendant impossible toute vérification indépendante
  • Des organismes de certification basés en Inde, Accorp, Gradient, BQC et Glocert, signaient les rapports via des coquilles de sociétés américaines
  • Certains rapports contenaient des numéros de licence d’auditeur erronés, ce qui confirme l’hypothèse d’une duplication depuis un même modèle
• Jayshree Dutta, présentée comme responsable d’audit, n’est pas CPA aux États-Unis et a été identifiée comme appartenant aux sociétés indiennes CyberTryZub et BQC

Le caractère factice du produit et des processus

• L’« automatisation par IA » de Delve est en réalité un système manuel basé sur des formulaires avec très peu de véritable IA
  • La plupart des « intégrations » exigent uniquement l’envoi de captures d’écran, sans procédure d’authentification
  • Les politiques, évaluations de risques et simulations de sécurité sont constituées de modèles avec des valeurs par défaut déjà remplies, qu’il suffit de valider par clic
• Le module Pathways était présenté comme un développement interne de Delve, mais il a été établi qu’il utilisait sans autorisation l’open source SimStudio
• Les clients devaient adopter de faux comptes rendus de réunion, de faux résultats de tests de sécurité et de faux documents de politique, et en cas de refus, ils devaient effectuer manuellement la majeure partie du travail

Faux rapports et manipulation des pages de confiance

• La Trust Page de Delve marque comme « terminés » des contrôles de sécurité qui n’ont en réalité jamais été mis en œuvre
  • Sur 322 clients SOC 2, 321 utilisent les mêmes 51 éléments de contrôle
  • Des mesures de sécurité inexistantes comme le MDM, la détection d’intrusion, les sauvegardes ou la suppression des données sont automatiquement indiquées comme en place
• Les rapports SOC 2 Type II indiquent que tous les critères, notamment « sécurité, disponibilité, confidentialité et vie privée », sont satisfaits, alors qu’en réalité un seul point relatif à la sécurité est testé
  • Tous les rapports se terminent à l’identique par la formule « No exceptions noted »

Risques réglementaires et juridiques

• Les faux processus de Delve placent ses clients dans une situation de violation du GDPR et du HIPAA
  • Une violation du HIPAA peut entraîner des poursuites pénales, et une violation du GDPR peut mener à une amende pouvant atteindre 4 % du chiffre d’affaires mondial
  • Des entreprises traitant des données médicales ou liées à la défense sont également concernées, ce qui crée un risque de niveau sécurité nationale
• Les clients de Delve ont, sans le savoir, soumis à des tiers de faux rapports de certification, ce qui peut engager leur responsabilité contractuelle et réputationnelle

Conclusion et recommandations

• Delve constitue un cas d’industrialisation d’une « fausse automatisation de la conformité », exposant ses clients à des risques juridiques
• Les clients existants devraient consigner par écrit toutes les communications avec Delve et demander des clarifications sur la génération des audits, l’indépendance des auditeurs et l’étendue de la fuite de données
• Le prétendu « processus de confiance basé sur l’IA » de Delve n’est rien d’autre qu’un système formel de génération documentaire, sans véritable capacité de vérification de sécurité
• Cette affaire illustre l’effondrement de la confiance dans le marché de l’automatisation de la conformité et remet en lumière l’importance des audits indépendants et de contrôles de sécurité effectifs