Choc et rupture : Delve n’apparaît plus chez Y Combinator
La startup de conformité Delve a vu sa page retirée du répertoire de Y Combinator, et sa COO, Selin Kocalar, a confirmé sur X que « YC et Delve se sont séparés ». Cet épisode intervient alors que l’équipe rappelle des débuts prometteurs — « je me souviens encore de l’entretien YC au MIT », a-t-elle écrit — mais illustre surtout une perte de confiance vis-à-vis d’un accélérateur majeur.
Investisseurs sur la réserve : retrait partiel d’Insight Partners
Delve ne s’est pas seulement attiré l’attention de YC : d’autres acteurs financiers ont pris leurs distances. Par exemple, Insight Partners a apparemment supprimé des mentions de son investissement, avant de restaurer une publication principale. Points clés :
- Rétractation publique : suppression de contenus liés à Delve sur des canaux officiels.
- Restauration partielle : signe d’un repositionnement prudent plutôt que d’une rupture totale.
- Implication : les investisseurs évaluent le risque réputationnel et juridique avant de communiquer.
Les accusations anonymes : l’enquête DeepDelver
Un auteur anonyme appelé « DeepDelver » a publié une série de billets affirmant que Delve aurait induit en erreur des clients sur leur conformité en générant automatiquement des rapports et en contournant des exigences critiques (des « certification mills »). Exemples d’allégations rapportées :
- Auto-génération de rapports d’audit présentés comme fiables.
- Fuites de données clientes et captures d’écrans Slack / vidéos mises en avant.
- Accusation d’avoir fait passer un outil open source pour une solution propriétaire.
- Un chercheur en sécurité affirmant avoir accédé à des données sensibles.
La défense de Delve : enquête, remise en contexte et aveu partiel
Les dirigeants — CEO Karun Kaushik et COO Selin Kocalar — ont réagi en affirmant avoir engagé une société de cybersécurité et en suggérant que les faits pointent vers une attaque malveillante plutôt qu’un lanceur d’alerte légitime. Entre autres déclarations :
- Affirmation d’une exfiltration de données via un acteur se faisant passer pour un client.
- Réfutation des allégations comme « mélange de faux, captures choisies et données sorties de leur contexte ».
- Reconnaissance partielle : « nous avons grandi trop vite et n’avons pas toujours tenu nos standards », avec des excuses aux clients.
Questions autour de l’open source et du malware lié à un client
La polémique s’est élargie lorsque du malware a été trouvé dans un projet open source développé par un client de Delve, LiteLLM, et que Delve a été accusée d’avoir exploité un dépôt open source sans crédit. Delve répond que le projet est basé sur un dépôt Apache 2.0 — qui autorise l’usage commercial — et qu’ils l’ont substantiellement adapté pour des cas d’usage compliance. À retenir :
- Licence Apache 2.0 : permet la réutilisation commerciale mais implique des obligations de conformité et d’éthique.
- Risque réel : inclusion de dépendances compromises ou de composants infectés peut exposer clients et audit.
- Exemple pratique : une entreprise doit auditer les composants open source et exiger des rapports de sécurité indépendants.
Impact pour les clients et mesures recommandées
Les retombées touchent la confiance, la gestion des risques et la conformité réglementaire : les entreprises clientes doivent redoubler de vigilance. Actions concrètes recommandées :
- Demander des re-audits et des rapports d’assurance indépendants (SOC 2, ISO 27001).
- Exiger des preuves de tests d’intrusion et des résultats de contrôles de sécurité.
- Vérifier la provenance et la transformation des outils open source utilisés.
- Prévoir des clauses contractuelles pour la notification d’incidents et la restitution de données.
TechCrunch a sollicité des réponses de Y Combinator et de DeepDelver ; l’affaire illustre à la fois les fragilités liées à la croissance rapide des startups compliance et l’importance d’un examen indépendant continu pour les clients et investisseurs.
En savoir plus sur L'ABESTIT
Subscribe to get the latest posts sent to your email.


