Delve : quand le compliance « en quelques clics » s'avère être du vent
Une startup à 300 millions de dollars accusée de fabriquer des certifications de compliance. Des centaines d'entreprises potentiellement exposées. Et une leçon que le monde de la cybersécurité refuse obstinément d'apprendre.

Une startup à 300 millions de dollars accusée de fabriquer des certifications de sécurité. Des centaines d'entreprises potentiellement exposées. Et une leçon que le monde de la cybersécurité refuse obstinément d'apprendre.
Vous êtes founder d'une startup B2B. Vos prospects enterprise vous demandent un SOC 2 Type II avant de signer. Un ISO 27001. Peut-être un HIPAA si vous touchez à la santé. Le processus classique ? Des mois de travail, des dizaines de milliers d'euros, et une quantité de documentation qui ferait pleurer un archiviste.
Et puis quelqu'un vous parle de Delve. Soutenue par Y Combinator. 32 millions de dollars levés en Série A. Valorisée à 300 millions. Plus de 1 700 clients revendiqués dans 50 pays. Le pitch : connectez vos outils, laissez l'IA « agentique » faire le travail, obtenez votre certification en quelques jours.
Trop beau pour être vrai ? Apparemment, oui.
Ce qui a déclenché l'incendie
Le 18 mars 2026, un compte pseudonyme, DeepDelver, publie sur Substack un article dévastateur intitulé « Fake Compliance as a Service ». Ce n'est pas un coup de gueule sur un forum. C'est une enquête structurée, avec captures d'écran, documents archivés et un dossier entier de preuves hébergé sur Mega.nz.
L'auteur se présente comme un ancien client. Pas un concurrent, pas un journaliste. Un client qui a payé pour le service et qui, avec d'autres entreprises dans la même situation, a décidé de creuser.
Leur conclusion est sans appel : Delve ne ferait pas du compliance automatisé. Delve ferait du théâtre de compliance automatisé.
Les accusations, point par point
L'article de DeepDelver est long, détaillé, et méthodique. Voici l'essentiel.
Des rapports générés avant même que le client n'ait fourni ses données. Les conclusions d'audit, les procédures de test et les rapports finaux auraient été produits par Delve elle-même, avant tout examen indépendant. Ce qui, dans le monde de l'audit, s'appelle une inversion totale du processus. Quand c'est la plateforme auditée qui écrit le rapport de l'auditeur, on n'est plus dans le compliance. On est dans le sketch.
Des templates quasi-identiques d'un client à l'autre. Sur 494 rapports SOC 2 examinés, 493 auraient été pratiquement identiques, mêmes formulations, mêmes erreurs grammaticales. Des valeurs de test absurdes comme « g », « sdf » ou « Render » traîneraient encore dans des rapports supposément finalisés. On est loin de l'IA révolutionnaire promise dans les pitchs.
Des preuves fabriquées. Procès-verbaux de réunions de board qui n'auraient jamais eu lieu. Formations d'employés jamais dispensées. Scans de vulnérabilités pré-remplis. Le client avait le choix : accepter les templates tels quels, ou faire le travail manuellement, ce qui annulait tout l'intérêt de la plateforme.
Deux cabinets d'audit pour tout le monde. La quasi-totalité des clients auraient été orientés vers Accorp (pour le SOC 2) et Gradient (pour l'ISO 27001), décrits comme deux entités liées opérant principalement depuis l'Inde, avec une présence nominale aux États-Unis. Le rôle de ces cabinets ? Apposer leur tampon sur des rapports déjà rédigés par Delve.
Des pages Trust Center trompeuses. Les portails publics affichant le statut de sécurité des entreprises clientes de Delve auraient listé des contrôles « live monitored » qui n'avaient jamais été implémentés. En clair : une vitrine de sécurité sans rien derrière.
La cerise sur le gâteau : des failles de sécurité en prime
Comme si les accusations de compliance fictif ne suffisaient pas, l'affaire a pris une dimension supplémentaire. Un utilisateur X nommé James Zhou a affirmé avoir pu accéder à des informations sensibles de Delve : vérifications d'antécédents d'employés, calendriers de vesting d'actions. Le fondateur de Dvuln, Jamieson O'Reilly, a ensuite détaillé ce qu'il a décrit comme « plusieurs failles béantes dans la surface d'attaque externe de Delve ».
L'ironie est presque trop parfaite. Une entreprise qui vend du compliance en matière de sécurité informatique et qui aurait elle-même des trous de sécurité dans sa propre infrastructure. On ne peut pas inventer ça.

La réponse de Delve : « Ce ne sont que des templates »
Le 20 mars, Delve publie un billet de blog intitulé « Response to Misleading Claims ». La ligne de défense repose sur trois arguments : Delve ne délivre pas de rapports de compliance, c'est une plateforme d'automatisation. Les auditeurs sont indépendants et accrédités. Et les templates sont des « points de départ » que le client doit personnaliser.
Le CEO Karun Kaushik a envoyé un mail aux clients qualifiant les accusations de « falsifiées » et suggérant que l'article pourrait être généré par IA.
La réplique de DeepDelver, relayée par TechCrunch, n'a pas tardé : ils se disent « sidérés par la paresse et l'aplomb » de la réponse, notant que Delve appelle « templates » ce qui est en réalité des preuves pré-remplies, et reporte la responsabilité sur les clients qui les ont adoptées telles quelles. La startup affirme ne pas « émettre » les rapports, ce qui est facile à soutenir si vous définissez l'émission comme le fait d'apposer le tampon final. Mais quand vous générez les conclusions de l'auditeur, les procédures de test et le rapport final avant toute revue indépendante, vous êtes à la fois l'implémenteur et l'examinateur. Et ça, c'est l'inversion exacte de ce que la conformité est censée garantir.
Les allégations les plus graves n'ont pas été adressées : les liens avec les cabinets indiens, l'absence réelle d'IA (Delve parle d'« automatisations » dans sa réponse, pas d'IA), et les pages Trust Center affichant des contrôles jamais implémentés.
Un détail révélateur : quand DeepDelver et d'autres clients ont commencé à poser des questions, Delve leur aurait envoyé des boîtes de donuts. Le geste aurait été touchant s'il n'était pas aussi dérisoire face à l'ampleur du problème.
Les signaux qui ne trompent pas
Depuis la publication de l'enquête, Delve a désactivé le bouton « Book a demo » sur son site. Insight Partners, le fonds qui a mené la Série A, a supprimé son article promotionnel sur l'investissement (l'original est encore visible via la Wayback Machine). Et quand TechCrunch a tenté de joindre Delve via le mail de contact media, le message a renvoyé un bounce.
Quand votre investisseur efface ses propres traces, ce n'est généralement pas parce que tout va bien.
Pourquoi cette affaire devrait vous préoccuper
Ce n'est pas qu'une histoire de startup américaine qui a pris des raccourcis. Les implications sont concrètes et graves.
Pour les entreprises utilisant Delve qui gèrent des données de santé, une fausse conformité HIPAA peut entraîner des poursuites pénales. Pas des amendes. Des poursuites pénales. Pour celles opérant en Europe, une conformité GDPR de façade expose à des amendes allant jusqu'à 4 % du chiffre d'affaires mondial annuel. Et pour toutes les autres, c'est la crédibilité commerciale qui est en jeu. Quand un client enterprise découvre que votre certificat SOC 2 a été « généré » plutôt qu'audité, le contrat ne survit généralement pas à la conversation.

L'analyse structurelle : ce que cette affaire dit vraiment
Au-delà du cas Delve, cette affaire illustre un problème systémique que je ne cesse de pointer dans mes travaux : le compliance est un processus, pas un produit.
Vous ne pouvez pas « acheter » la conformité comme vous achetez un abonnement SaaS. La conformité exige une compréhension profonde de votre contexte métier, de vos flux de données, de vos risques réels. Elle nécessite des contrôles adaptés, testés et maintenus dans le temps. Et elle repose sur un audit indépendant, le mot « indépendant » étant la clé de tout l'édifice.
Quand une plateforme vous promet d'automatiser tout ça « en quelques jours grâce à l'IA », il faut poser la question qui dérange : qu'est-ce qui est réellement automatisé, le compliance ou l'apparence du compliance ?
C'est exactement le même schéma que l'on observe partout dans l'écosystème : la pression du « scale fast » pousse à optimiser l'affichage plutôt que la substance. On ne protège pas les données des utilisateurs. On protège la capacité à signer des contrats.
C'est ce que j'appelle, dans Être en cybersécurité, le « compliance performatif » : des organisations qui cochent des cases pour satisfaire un audit, sans jamais intégrer la sécurité dans leur culture opérationnelle. Delve n'a fait qu'industrialiser ce problème.
Que faire si vous êtes concerné
Si votre entreprise a utilisé Delve pour obtenir une certification, la marche à suivre est directe.
Vérifiez immédiatement vos rapports d'audit. Comparez-les avec ceux d'autres clients Delve si possible. Si la structure, les formulations et même les erreurs sont identiques, vous avez votre réponse. Faites réaliser un audit indépendant par un cabinet sans lien avec Delve, Accorp ou Gradient. Oui, ça va coûter cher. Mais c'est le prix de la réalité versus le prix de l'illusion. Soyez transparents avec vos clients et partenaires : si vous avez présenté un certificat Delve comme preuve de conformité, il vaut mieux prendre les devants que d'attendre qu'un prospect ou un régulateur pose la question. Et revoyez vos pages Trust Center. Si elles affichent des contrôles que vous n'avez jamais implémentés, retirez-les immédiatement.
Le mot de la fin
La conformité réglementaire est chiante. Elle est lente. Elle est chère. Et c'est précisément pour ça qu'elle a de la valeur. Parce qu'elle représente un engagement réel, vérifiable, envers la protection des données des personnes qui vous font confiance.
Quand quelqu'un vous promet de rendre ce processus rapide, facile et bon marché, la question n'est pas « est-ce innovant ? ». La question est : qu'est-ce qu'on a coupé pour y arriver ?
Delve voulait disrupter le compliance. Pour l'instant, elle a surtout démontré pourquoi le compliance ne se disrupte pas aussi facilement qu'un service de livraison de repas.
L'enquête continue. DeepDelver a promis une partie 2. Des investigations réglementaires pourraient suivre. En attendant, le message est clair : un beau certificat ne vaut rien si derrière, il n'y a que du vent. Et des donuts.
Christophe Mazzola, christophemazzola.fr Auteur de « Être en cybersécurité ». Poliment paranoïaque depuis toujours.
Sources
- DeepDelver, 18 mars 2026, « Delve: Fake Compliance as a Service, Part I » (Substack)
- TechCrunch, 22 mars 2026, « Delve accused of misleading customers with 'fake compliance' »
- TechCrunch, 24 mars 2026, « Insight Partners scrubs investment post about Delve amid allegations »
- Inc., 23 mars 2026, « The Delve Scandal: A Y Combinator Darling Just Got Hit With a Bombshell Fraud Accusation »
- Delve, 20 mars 2026, « Response to Misleading Claims »
Questions fréquentes
Qu'est-ce que Delve et de quoi est-elle accusée ?
Delve est une startup de compliance automatisée soutenue par Y Combinator, valorisée 300 millions de dollars. Elle est accusée par un ancien client, DeepDelver, de fabriquer des certifications de sécurité : rapports générés avant fourniture des données, templates identiques d'un client à l'autre et preuves pré-remplies.
Pourquoi parle-t-on d'une « inversion » du processus d'audit ?
Parce que les conclusions d'audit, les procédures de test et les rapports finaux auraient été rédigés par Delve elle-même avant tout examen indépendant. La plateforme auditée devient à la fois l'implémenteur et l'examinateur, l'exact contraire de ce que la conformité est censée garantir.
Quels sont les risques pour une entreprise ayant utilisé Delve ?
Une fausse conformité HIPAA peut entraîner des poursuites pénales, une conformité GDPR de façade expose à des amendes allant jusqu'à 4 % du chiffre d'affaires mondial annuel, et la découverte d'un certificat « généré » plutôt qu'audité ruine la crédibilité commerciale face aux clients enterprise.
Que faire si mon entreprise a utilisé Delve ?
Vérifier et comparer vos rapports d'audit, faire réaliser un audit indépendant par un cabinet sans lien avec Delve, Accorp ou Gradient, être transparent avec vos clients et partenaires, et retirer de vos pages Trust Center tout contrôle jamais implémenté.
Quelle leçon de fond tirer de l'affaire Delve ?
Que le compliance est un processus, pas un produit. La conformité exige des contrôles adaptés, testés et maintenus, et surtout un audit indépendant. Une promesse de tout automatiser « en quelques jours grâce à l'IA » doit faire poser la question : qu'a-t-on coupé pour y arriver ?
Sources & méthodologie
- DeepDelver, 18 mars 2026, « Delve: Fake Compliance as a Service, Part I » (Substack)
- TechCrunch, 22 mars 2026, « Delve accused of misleading customers with 'fake compliance' »
- TechCrunch, 24 mars 2026, « Insight Partners scrubs investment post about Delve amid allegations »
- Inc., 23 mars 2026, « The Delve Scandal: A Y Combinator Darling Just Got Hit With a Bombshell Fraud Accusation »
- Delve, 20 mars 2026, « Response to Misleading Claims »

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
