La startup en difficulté Delve se sépare de Y Combinator

Date:

Choc et rupture : Delve n’apparaît plus chez Y Combinator

La startup de conformité Delve a vu sa page retirée du répertoire de Y Combinator, et sa COO, Selin Kocalar, a confirmé sur X que « YC et Delve se sont séparés ». Cet épisode intervient alors que l’équipe rappelle des débuts prometteurs — « je me souviens encore de l’entretien YC au MIT », a-t-elle écrit — mais illustre surtout une perte de confiance vis-à-vis d’un accélérateur majeur.

Investisseurs sur la réserve : retrait partiel d’Insight Partners

Delve ne s’est pas seulement attiré l’attention de YC : d’autres acteurs financiers ont pris leurs distances. Par exemple, Insight Partners a apparemment supprimé des mentions de son investissement, avant de restaurer une publication principale. Points clés :

  • Rétractation publique : suppression de contenus liés à Delve sur des canaux officiels.
  • Restauration partielle : signe d’un repositionnement prudent plutôt que d’une rupture totale.
  • Implication : les investisseurs évaluent le risque réputationnel et juridique avant de communiquer.

Les accusations anonymes : l’enquête DeepDelver

Un auteur anonyme appelé « DeepDelver » a publié une série de billets affirmant que Delve aurait induit en erreur des clients sur leur conformité en générant automatiquement des rapports et en contournant des exigences critiques (des « certification mills »). Exemples d’allégations rapportées :

  • Auto-génération de rapports d’audit présentés comme fiables.
  • Fuites de données clientes et captures d’écrans Slack / vidéos mises en avant.
  • Accusation d’avoir fait passer un outil open source pour une solution propriétaire.
  • Un chercheur en sécurité affirmant avoir accédé à des données sensibles.

La défense de Delve : enquête, remise en contexte et aveu partiel

Les dirigeants — CEO Karun Kaushik et COO Selin Kocalar — ont réagi en affirmant avoir engagé une société de cybersécurité et en suggérant que les faits pointent vers une attaque malveillante plutôt qu’un lanceur d’alerte légitime. Entre autres déclarations :

  • Affirmation d’une exfiltration de données via un acteur se faisant passer pour un client.
  • Réfutation des allégations comme « mélange de faux, captures choisies et données sorties de leur contexte ».
  • Reconnaissance partielle : « nous avons grandi trop vite et n’avons pas toujours tenu nos standards », avec des excuses aux clients.

Questions autour de l’open source et du malware lié à un client

La polémique s’est élargie lorsque du malware a été trouvé dans un projet open source développé par un client de Delve, LiteLLM, et que Delve a été accusée d’avoir exploité un dépôt open source sans crédit. Delve répond que le projet est basé sur un dépôt Apache 2.0 — qui autorise l’usage commercial — et qu’ils l’ont substantiellement adapté pour des cas d’usage compliance. À retenir :

  • Licence Apache 2.0 : permet la réutilisation commerciale mais implique des obligations de conformité et d’éthique.
  • Risque réel : inclusion de dépendances compromises ou de composants infectés peut exposer clients et audit.
  • Exemple pratique : une entreprise doit auditer les composants open source et exiger des rapports de sécurité indépendants.

Impact pour les clients et mesures recommandées

Les retombées touchent la confiance, la gestion des risques et la conformité réglementaire : les entreprises clientes doivent redoubler de vigilance. Actions concrètes recommandées :

  • Demander des re-audits et des rapports d’assurance indépendants (SOC 2, ISO 27001).
  • Exiger des preuves de tests d’intrusion et des résultats de contrôles de sécurité.
  • Vérifier la provenance et la transformation des outils open source utilisés.
  • Prévoir des clauses contractuelles pour la notification d’incidents et la restitution de données.

TechCrunch a sollicité des réponses de Y Combinator et de DeepDelver ; l’affaire illustre à la fois les fragilités liées à la croissance rapide des startups compliance et l’importance d’un examen indépendant continu pour les clients et investisseurs.


En savoir plus sur L'ABESTIT

Subscribe to get the latest posts sent to your email.

Share post:

Popular

More like this
Related

Canicule et vigilance rouge : incendie au sud de Paris

Les départements au niveau d’alerte maximal dimanche le resteront lundi, mais onze d’entre eux descendront au niveau orange à partir de 22 heures, a annoncé Météo-France dans son bulletin de 16 heures, précisant que la Haute-Loire passerait à l’inverse du jaune au orange, lundi, à midi....

Gaza : quatre morts dans un bombardement israélien sur un atelier

L’armée israélienne a affirmé qu’elle visait une « infrastructure terroriste » après avoir tiré sur un atelier de métallurgie situé dans un quartier du sud de la ville de Gaza, sans apporter plus d’éléments....

Festival d’Avignon : des artistes interpellent Macron sur les coupes budgétaires

Dimanche, neuf artistes du théâtre, de la danse, du cirque et de la performance, entourés par une quarantaine de créateurs, ont lu un texte adressé au chef de l’Etat devant les 2 000 spectateurs de la Cour d’honneur du Palais des papes....

Le maire d’Aniane agressé pendant la feria, un suspect interpellé

Le maire d'Aniane a été violemment pris à partie dans la nuit de vendredi à samedi 11 juillet lors de la feria. Philippe Salasc a porté plainte et l'agresseur présumé a été interpellé....