La startup de conformité Delve a été retirée du portefeuille Y Combinator (YC), signalant des retombées importantes suite à des accusations de clients trompeurs et de pratiques opérationnelles douteuses. La société n’est plus répertoriée sur le site Web de YC et Selin Kocalar, COO de Delve, a confirmé la scission sur X, en déclarant : “YC et Delve se sont séparés”. Cette décision fait suite à une prise de distance similaire de la part d’Insight Partners, qui a temporairement supprimé les mentions de leur investissement avant de restaurer certains contenus.
Le cœur de la controverse
Le différend porte sur les affirmations d’une source anonyme, « DeepDelver », qui affirme que Delve a fait une fausse déclaration sur ses capacités de conformité, vendant potentiellement des certifications inefficaces à ses clients. DeepDelver a partagé des fuites de données et des communications internes suggérant que Delve automatisait les rapports pour les usines de certification douteuses tout en ignorant les diligences nécessaires.
Les accusations se sont encore intensifiées lorsque des logiciels malveillants ont été découverts dans un projet open source utilisé par un client de Delve, LiteLLM. Bien que le lien exact reste flou, cet incident s’ajoute à l’attention croissante portée à la sécurité et à l’intégrité opérationnelle de Delve.
Réponse de Delve : attaque ou dénonciation ?
Les dirigeants de Delve, Karun Kaushik et Selin Kocalar, ont nié avec véhémence ces affirmations, les qualifiant de campagne de diffamation coordonnée orchestrée par un acteur malveillant. Ils affirment qu’un attaquant a acheté l’accès sous de faux prétextes, a exfiltré des données et les a utilisées pour nuire à la réputation de Delve.
La société affirme avoir engagé une société de cybersécurité pour enquêter, soulignant des preuves de vol de données et accusant DeepDelver de fabrication et de présentation sélective de preuves. Ils défendent également leur utilisation d’outils open source, arguant qu’ils respectaient les termes de la licence et qu’ils avaient considérablement amélioré le logiciel à des fins de conformité.
Mesures de contrôle des dommages
Pour atténuer les conséquences, Delve a annoncé plusieurs actions correctives :
- Supprimer les cabinets d’audit qui ne répondent pas à leurs normes.
- Proposer des réaudits et des tests d’intrusion gratuits aux clients existants.
- Préciser que leurs modèles sont destinés à servir de points de départ et non de solutions finales de conformité.
Le PDG Kaushik a reconnu que l’entreprise avait connu une croissance trop rapide, ne répondant pas à ses propres normes, et a présenté des excuses aux clients concernés.
“Nous avons grandi trop vite et n’avons pas atteint nos propres standards. Nous présentons nos sincères excuses à nos clients pour les désagréments causés.” — Karun Kaushik
Ce que cela signifie
La situation de Delve met en évidence les risques inhérents aux startups à croissance rapide qui privilégient l’évolutivité plutôt que la vérification. Les accusations, qu’elles soient vraies ou fausses, ont porté atteinte à la confiance des investisseurs et soulèvent des questions sur la rigueur de la conformité dans le secteur technologique. Le départ de Y Combinator est un signal clair que même les accélérateurs très sélectifs couperont les liens avec les entreprises confrontées à de graves problèmes d’intégrité.
L’incident souligne l’importance de la transparence, de la sécurité des données et d’une diligence raisonnable approfondie pour les startups et leurs clients. Sans cela, même les entreprises les plus prometteuses peuvent s’effondrer rapidement sous l’effet d’un examen minutieux.
