Delve vendait une fausse conformité puis a traité le lanceur d'alerte de pirate
Lanceurs d'alerte

Delve vendait une fausse conformité puis a traité le lanceur d'alerte de pirate

Delve était une startup issue de Y Combinator qui vendait de la conformité en sécurité à d'autres entreprises. Elle a atteint une valorisation de 300 millions de dollars en promettant des audits en quelques jours, pas en quelques mois. Puis un groupe anonyme appelé DeepDelver a montré que ces audits étaient en grande partie bidon. Les fondateurs ont riposté en qualifiant la source de pirate informatique.

À retenir

  • Delve, une startup de conformité valorisée à 300 millions de dollars, a été accusée de vendre de faux audits de sécurité.
  • Parmi les rapports divulgués, 493 sur 494 étaient quasi identiques, jusqu'à la même faute de frappe.
  • Les personnes au courant sont restées anonymes, et aucun employé de Delve ne s'est manifesté à visage découvert.
  • Le PDG a qualifié la source de pirate informatique, et non de lanceur d'alerte, pour discréditer le rapport.
  • Y Combinator a coupé les ponts et une action collective a suivi, mais le préjudice de fond, ce sont les acheteurs ayant fait confiance à une imposture.

Que vendait Delve, et qu'est-ce qui a dérapé ?

Delve vendait un logiciel qui aide une entreprise à réussir un audit de sécurité. Le principal est le SOC 2. C'est un rapport qu'un prestataire montre à ses clients pour prouver qu'il protège leurs données. Le processus normal prend six à douze mois. Delve promettait le même résultat en quelques jours. Des agents IA rassemblaient les preuves et rédigeaient les documents. Cette rapidité, c'était tout l'argument de vente.

L'entreprise est sortie de Y Combinator et a grandi vite. Ses fondateurs étaient Karun Kaushik et Selin Kocalar, tous deux ayant abandonné le MIT au début de la vingtaine, et tous deux figurant sur la liste Forbes 30 Under 30. Ils ont levé environ 35 millions de dollars, dont une série A menée par Insight Partners, et ont atteint une valorisation de 300 millions de dollars. Le site de Delve affirme encore qu'il bénéficie de la confiance de plus de 1 500 des entreprises à la croissance la plus rapide. Il indique que ses agents IA réalisent des captures d'écran, rédigent des rapports et valident vos preuves à votre place.

La page d'accueil de Delve promettant la conformité en quelques jours, le produit au coeur du scandale

Delve vendait la conformité en quelques jours. Capture d'écran de delve.co.

C'est cette dernière phrase qui pose problème. Un audit n'a de sens que si une vraie personne vérifie les preuves. Si une machine rédige le rapport et qu'un tampon le valide, le client achète un document, pas de la sécurité. L'argument qui rendait Delve rapide est celui qui rendait les audits creux. Une société de conformité avait discrètement transformé la conformité en travail de copie.

Pourquoi personne n'a-t-il contesté un audit bouclé en cinq jours ? Parce que la rapidité était justement le but. Les clients voulaient le label pour conclure des affaires. Les investisseurs voulaient de la croissance. Les auditeurs étaient payés dans tous les cas. Chaque maillon de la chaîne avait une raison de ne pas demander comment cela se faisait vraiment. Alors personne n'a demandé.

Ce que les critiques anonymes ont découvert

En mars 2026, un groupe anonyme signant sous le nom de DeepDelver a publié une enquête. Elle reposait sur un tableur interne divulgué. Ses membres étaient d'anciens clients qui avaient comparé leurs informations. Leurs chiffres étaient difficiles à balayer. Sur 494 rapports SOC 2, 493 utilisaient le même texte type. Seuls le nom et le logo de l'entreprise changeaient. Cela ressemblait moins à un audit qu'à un rechercher-remplacer.

  • Les 259 rapports de Type II portaient tous la même conclusion d'auditeur, mot pour mot.
  • La même faute de frappe, Because there no security incidents reported, où il manque le mot is, apparaissait dans les 259.
  • Un rapport contenait encore un descriptif produit collé : Cluely is a desktop AI assistant to give you answers in real-time.
  • Dans 259 entreprises sans aucun lien, les données de test étaient le même tapotage de clavier, sdf, g, dlkjf.
  • Les conclusions des auditeurs étaient rédigées avant même que les clients aient remis la moindre preuve.

Le marketing de Delve montrant des agents IA qui prennent des captures d'écran et rédigent automatiquement des rapports d'audit

L'argumentaire de Delve lui-même : des agents IA qui rédigent des rapports et valident vos preuves. Capture d'écran de delve.co.

DeepDelver a affirmé que les auditeurs présentés par Delve comme des cabinets américains menaient en réalité à des officines à l'étranger utilisant des adresses virtuelles. Le ton du groupe était l'incrédulité, pas la colère. Ils ont dit être déconcertés par la paresse, la maladresse et le culot de la chose. Delve, ont-ils écrit, a tenu sa promesse d'être la plateforme la plus rapide en produisant de fausses preuves. Si c'est vrai, les dégâts sont considérables. Des centaines d'entreprises ont assuré à leurs propres clients qu'elles étaient sûres. La preuve était un rapport que personne n'avait vraiment rédigé.

Le prix était un indice discret depuis le début. Certains audits de Delve auraient coûté seulement quelques milliers de dollars. Un vrai audit SOC 2 demande de nombreuses heures à un expert, donc ce montant n'a jamais tenu debout. Au moins un responsable de la sécurité a déclaré par la suite que ce tarif dérisoire l'avait dérangé pendant des mois avant la fuite. Le marché a quand même voulu croire à la bonne affaire.

Comment Delve a répondu aux accusations

Delve a riposté avec force. L'entreprise a affirmé qu'elle n'émet aucun audit. Elle se contente d'exploiter une plateforme d'automatisation. Les rapports et opinions finaux sont émis uniquement par des auditeurs indépendants et agréés, et non par Delve, a déclaré l'entreprise. Les modèles d'ébauche, a-t-elle soutenu, ne sont pas des preuves pré-remplies. Le 4 avril, les fondateurs ont publié une vidéo. Elle a totalisé près de 5 millions de vues.

La vidéo vaut le coup d'oeil pour la façon dont elle bascule. Elle s'ouvre comme des excuses, puis se retourne contre la source. Les fondateurs s'excusent pour les désagréments. Ils promettent un nouveau réseau d'auditeurs et des re-audits gratuits. Puis ils reformulent l'histoire comme un crime commis contre eux, pas par eux.

Relisez bien. La personne qui a révélé le problème devient un acteur malveillant. Delve affirme que cet acteur a acheté Delve sous de faux prétextes et a exfiltré des données internes de l'entreprise. C'est le plus vieux procédé qui soit. Quand on ne peut pas nier les documents, on s'attaque au messager. Peut-être qu'un identifiant a vraiment été détourné. Même dans ce cas, qualifier un lanceur d'alerte de pirate envoie un seul message à chaque employé qui regarde. Parlez de nous, et nous nous en prendrons à vous. Un organe consultatif de l'UE a montré le même réflexe lorsqu'il a traqué en secret la source anonyme derrière les accusations de corruption visant sa propre direction.

Pourquoi les personnes au courant sont restées anonymes

Un détail se perd dans le reste de la couverture médiatique. Aucun employé de Delve n'a associé son nom à cette affaire. Le rapport venait de l'extérieur, de clients qui ont mis en commun ce qu'ils avaient vu. Ils sont restés sans visage volontairement. Ils faisaient face à une startup bien financée et bien dotée en avocats. Ils ont jugé qu'un nom leur coûterait cher. La réplique du PDG sur le pirate a prouvé qu'ils avaient raison.

Ce silence interne est le vrai avertissement. Beaucoup de gens chez Delve devaient être au courant. Ils voyaient les rapports identiques, les données de test absurdes, la faute de frappe sur chaque copie. Aucun d'eux n'avait de moyen sûr de le dire. Il n'existait aucun canal de confiance pour recueillir l'inquiétude d'un salarié, masquer son nom et imposer un vrai examen. Alors la vérité a pris le chemin le plus long. Elle est passée par des personnes anonymes extérieures, des mois après les premiers signes.

Un canal de signalement confidentiel existe justement pour ce moment-là. Il permet à un seul ingénieur inquiet de signaler un problème sans miser son emploi dessus. L'enjeu n'est pas la paperasse. Un signalement précoce et protégé peut stopper une petite pourriture avant qu'elle ne devienne une affaire de 300 millions de dollars. Delve avait les preuves à la vue de tous. Mais l'entreprise n'avait personne en interne qui se sentait assez en sécurité pour tirer la sonnette d'alarme.

La loi américaine protège bien certains lanceurs d'alerte des représailles. Mais une loi sur le papier est une maigre consolation face à un procès et à une étiquette publique de pirate. La plupart des gens pèsent ce risque et se taisent. C'est pourquoi le canal compte plus que le texte de loi. Un salarié a d'abord besoin d'une voie sûre, sinon le droit de signaler n'est jamais utilisé.

Les retombées ont touché Y Combinator, Insight Partners et un tribunal

La vidéo n'a pas sauvé l'entreprise. En quelques jours, Y Combinator a retiré Delve de son annuaire et a demandé aux fondateurs de quitter le programme. C'est une rupture publique rare avec l'un des siens. Insight Partners a brièvement retiré son analyse d'investissement de son site. La chronologie ci-dessous montre la vitesse à laquelle un tableur divulgué est devenu une crise totale.

Quand Ce qui s'est passé
Mi-mars 2026 DeepDelver publie Fake Compliance as a Service sur Substack, avec les données des rapports divulgués.
22 mars 2026 TechCrunch relaie les accusations ; Delve les qualifie de trompeuses.
30 mars 2026 DeepDelver revient et affirme que Delve a copié le code open source d'une startup YC rivale.
3-4 avril 2026 Y Combinator lâche Delve ; les fondateurs publient leur vidéo d'excuses et de cyberattaque.
21 avril 2026 Une action collective visant Delve est déposée devant le district nord de Californie.

Un second billet de DeepDelver est allé plus loin que les audits bâclés. Il accusait Delve d'avoir pris le code open source d'une startup YC rivale et de l'avoir revendu comme son propre produit. Cette accusation a fait passer l'histoire du travail bâclé au vol pur et simple. Pour beaucoup d'observateurs, c'est le moment où la sympathie s'est muée en colère.

L'exposition juridique s'est propagée de Delve à ses clients. Une action collective devant un tribunal fédéral de Californie visait l'entreprise pour des audits de sécurité factices. Chaque entreprise qui avait montré un rapport Delve à ses clients avait désormais un problème. Leur promesse de sécurité risquait de ne plus tenir. La profession comptable a réagi elle aussi. L'organe d'examen par les pairs de l'AICPA a demandé aux examinateurs de signaler les évaluations de risques et les tests identiques d'un client à l'autre.

La réaction du public oscillait entre fureur et humour noir. Un message très partagé a bien résumé l'ambiance. Falsifier les audits était grave mais surmontable, disait-il, alors que voler le code d'une autre startup, là, on dépasse les bornes. Sous les blagues se cachait une vraie crainte. Si une entreprise de Y Combinator, avec des investisseurs de renom, pouvait livrer des centaines d'audits creux, quelle part du marché de la conformité repose sur des documents que personne ne lit ?

Pourquoi un label SOC 2 a cessé ici de vouloir dire quoi que ce soit

La leçon de fond porte sur la confiance, pas sur une seule startup. Un rapport SOC 2 fonctionne parce que l'acheteur suppose que quelqu'un d'indépendant a fait les vérifications. Les détracteurs de Delve disent que cette supposition est le point faible. Presque personne ne lit au-delà de la page de garde. Clarence Chio, qui dirige la société de conformité Coverbase, a résumé la solution sans détour.

La question Ce prestataire a-t-il un SOC 2 ? a toujours été la mauvaise question. La bonne question est : Ce prestataire fait-il vraiment ce que son SOC 2 prétend ?
Clarence Chio, PDG de Coverbase

Cet écart, entre détenir un certificat et le mériter, est au fondement de célèbres effondrements comptables. Arthur Andersen, l'auditeur d'Enron, a validé une fiction. WorldCom a dissimulé des milliards. Theranos a vendu un produit qui n'a jamais fonctionné. À chaque fois, un chiffre auquel le public faisait confiance s'est révélé mis en scène. Delve a simplement déplacé le tour de passe-passe d'un bilan comptable à un label de sécurité.

Le pied de page du site de Delve affichant Spoiler we passed our audits a cote des labels SOC 2 et ISO

Le pied de page du site de Delve, après l'éclatement du scandale : Spoiler : nous avons réussi nos audits. Capture d'écran de delve.co.

Une conformité que l'on ne peut pas vérifier n'est pas de la conformité. Un audit rapide qui saute la vérification est pire que pas d'audit du tout. Il vend un faux sentiment de tranquillité aux clients mêmes qu'il devrait protéger. Les entreprises qui ont acheté la rapidité de Delve apprennent maintenant qu'un label ne vaut que par l'honnêteté du processus qui le sous-tend.

Ce qui manque dans toute cette histoire, c'est la voie sûre qui n'a jamais existé. La fraude était visible de l'intérieur bien avant que le moindre observateur extérieur ne reconstitue le puzzle. Un salarié disposant d'un moyen sûr et anonyme de signaler, et d'une vraie protection contre les représailles, aurait pu la faire remonter dès la première semaine. Au lieu de cela, elle a fait surface une fois la valeur, les clients et la confiance déjà envolés. Un logiciel de signalement comme WeMoral existe pour donner à ce salarié une porte qui ne mène pas directement à une accusation de pirate. Delve, c'est ce qui arrive quand personne n'en a une.

Mis à jour le
Marek Tekieli

Spécialiste de la conformité, axé sur le déploiement des politiques et la circulation de l'information. Écrit sur la réglementation de l'UE et le signalement.

Lancez votre canal de signalement pour lanceurs d'alerte en moins de 5 minutes !

Page de signalement clé en main, conforme à la loi n° 2022-401 du 21 mars 2022 sur les lanceurs d'alerte. Vous la déployez sans développeur.

Réservez une démo Essayer gratuitement