Meilleure alternative a Delve apres le scandale de conformite (2026)
En mars 2026, le secteur de l'automatisation de la conformite a ete secoue par de graves allegations contre Delve, une startup soutenue par Y Combinator qui avait leve 32 millions de dollars pour une valorisation de 300 millions de dollars. Un lanceur d'alerte anonyme a publie des preuves suggerant que pres de 500 rapports d'audit SOC 2 generes via la plateforme de Delve etaient essentiellement du texte standard identique - avec 99,8 % du texte copie d'un client a l'autre, de fausses preuves de processus de securite qui n'ont jamais eu lieu, et des audits achemines via un reseau restreint de cabinets accuses de valider les resultats sans verification reelle.
Si vous etes client de Delve - ou envisagiez de le devenir - cet article expose ce qui s'est passe, ce que cela signifie pour votre organisation, et a quoi ressemble reellement une plateforme de conformite digne de confiance.
Ce qui s'est passe chez Delve
Delve se positionnait comme une plateforme de conformite IA-native capable de preparer les entreprises a l'audit en quelques jours plutot qu'en mois. Fondee par deux chercheurs en IA du MIT, l'entreprise est passee d'environ 100 clients debut 2025 a plus de 500 en 2026.
Les problemes ont fait surface lorsqu'un ensemble de donnees divulgue de 494 rapports SOC 2 provisoires a revele un langage quasi identique dans tous les rapports - le meme texte standard, les memes erreurs grammaticales, la meme structure. Seuls les noms des clients, les logos et les signatures etaient interchanges. Les rapports auraient ete generes avant meme que les entreprises n'aient soumis leurs donnees de conformite.
Au-dela des rapports eux-memes, le lanceur d'alerte a allegue que Delve fournissait des preuves fabriquees : des proces-verbaux de reunions du conseil qui n'ont jamais eu lieu, des resultats de tests de penetration pour des tests jamais effectues, et une documentation de processus de securite pour des controles jamais mis en place. Presque tous les audits passaient par deux cabinets - Accorp et Gradient - decrits comme faisant partie de la meme operation avec un controle independant minimal.
Delve a depuis desactive sa page de reservation de demonstration. Insight Partners, qui avait mene la Serie A de 32 millions de dollars, a supprime leur annonce d'investissement. Aucune conclusion reglementaire formelle n'a encore ete emise, mais l'AICPA, la SEC et les autorites de protection des donnees surveillent probablement de pres.
Pourquoi cela depasse le cas de Delve
Le scandale Delve ne concerne pas seulement une entreprise. Il expose un risque structurel dans le secteur de l'automatisation de la conformite : la tentation de privilegier la vitesse au detriment du fond.
Lorsqu'une plateforme promet une certification SOC 2 en quelques jours, la question que chaque acheteur devrait se poser est : qu'est-ce qui est exactement automatise ? Il y a une difference fondamentale entre automatiser la collecte de preuves et la surveillance des controles (legitime et precieux) et automatiser l'apparence de la conformite sans le travail sous-jacent (dangereux et potentiellement criminel).
Pour les entreprises qui se sont fiees aux rapports de Delve, les consequences sont reelles :
- Les rapports SOC 2 peuvent etre sans valeur. Si votre auditeur faisait partie d'une usine a certifications, votre rapport pourrait ne pas resister a l'examen de clients enterprise ou de regulateurs.
- Exposition penale en vertu de HIPAA. Les entreprises de sante qui se sont fiees a une documentation de conformite fabriquee font face a une responsabilite penale potentielle.
- Amendes RGPD et NIS2. Les entreprises europeennes avec des artefacts de conformite generes par Delve peuvent etre non conformes a des reglementations prevoyant des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
- Atteinte a la confiance des clients. Si vous avez partage une page de confiance alimentee par Delve avec des prospects, ces declarations de securite peuvent desormais etre remises en question.
Ce qu'il faut rechercher dans une plateforme de conformite apres Delve
La situation de Delve cree une liste de verification claire pour evaluer les alternatives :
1. Transparence dans le processus d'audit
Votre plateforme de conformite devrait faciliter de vrais audits avec des auditeurs accredites et independants - pas tout acheminer via un reseau ferme. Vous devriez pouvoir choisir votre propre auditeur et avoir une visibilite complete sur les preuves soumises.
2. De vraies preuves, pas des preuves generees
L'automatisation de la conformite devrait vous aider a collecter et organiser les preuves de vos systemes reels - infrastructure cloud, fournisseurs d'identite, outils RH, systemes de gestion de tickets. Elle ne devrait jamais fabriquer des preuves pour des processus qui n'existent pas.
3. Votre posture de conformite doit refleter la realite
Une bonne plateforme vous montre ou vous etes conforme et ou vous avez des lacunes. Si un controle n'est pas implemente, la plateforme devrait le signaler comme une lacune - pas le remplir avec de la fiction generee par IA.
4. Residence des donnees et alignement reglementaire
En particulier pour les entreprises europeennes soumises a DORA, NIS2 ou au RGPD, votre plateforme de conformite doit elle-meme repondre aux exigences de residence des donnees et de securite que vous essayez de demontrer.
5. Support multi-referentiels avec une vraie profondeur
Une couverture superficielle de 25 referentiels ne signifie rien si le travail sous-jacent est du texte standard modele. Recherchez des plateformes qui prennent en charge les referentiels avec une reelle profondeur reglementaire - de vraies cartographies de controles, des exigences specifiques a chaque juridiction et un support linguistique pour votre marche.
En quoi Matproof est different
Matproof est une plateforme de gestion de la conformite concue pour les secteurs reglementes europeens. Plutot que d'optimiser la vitesse d'obtention du certificat, Matproof se concentre sur la construction et le maintien d'une posture de conformite reelle.
Une conformite reelle, pas du theatre de conformite
Matproof se connecte a votre infrastructure reelle - fournisseurs cloud, systemes d'identite, plateformes RH - pour collecter de vraies preuves. Lorsqu'un controle n'est pas implemente, la plateforme vous le dit. Il n'y a pas d'option pour generer automatiquement de fausses preuves car cette fonctionnalite n'existe pas et n'existera jamais.
Relations avec des auditeurs independants
Matproof n'exploite pas une usine a audits. Les organisations utilisant Matproof travaillent avec leurs propres auditeurs choisis ou selectionnent parmi un reseau de cabinets accredites et independants. La plateforme genere des dossiers de documentation prets pour l'audit, mais la relation d'audit est entre vous et votre auditeur.
Architecture EU-first
Matproof est heberge en Allemagne sur une infrastructure europeenne. Tout le traitement des donnees se fait au sein de l'UE. Ce n'est pas une declaration de facade - c'est une decision d'architecture technique qui soutient les exigences de residence des donnees du RGPD, de DORA et de NIS2 des le depart.
16 referentiels avec profondeur reglementaire
Matproof prend en charge DORA, NIS2, le RGPD, ISO 27001, ISO 42001, ISO 9001, SOC 2, HIPAA, PCI DSS, NEN 7510, BaFin MaRisk, NIST 800-53, NIST CSF, le AI Act europeen, le Cyber Resilience Act et les exigences CSRD pour la chaine d'approvisionnement. Chaque referentiel inclut des controles specifiques a chaque juridiction, pas seulement des modeles generiques traduits entre referentiels.
Une IA qui assiste, pas qui fabrique
Matproof utilise l'IA pour aider a generer des projets de politiques, suggerer des implementations de controles et identifier les lacunes de conformite. L'IA travaille a partir de vos donnees reelles et des exigences reglementaires. Elle genere des points de depart pour examen humain - pas des artefacts finis qui contournent le processus de conformite.
Comparaison des fonctionnalites
| Capacite | Matproof | Delve |
|---|---|---|
| Collecte de preuves | Integrations reelles avec vos systemes | Fabrication de preuves alleguee |
| Independance de l'audit | Choisissez votre propre auditeur | Acheminement via un reseau d'auditeurs restreint |
| SOC 2 | Support complet Type I et II | Sous investigation |
| Conformite DORA | Couverture complete des 5 piliers | Non pris en charge |
| Conformite NIS2 | Support natif | Non pris en charge |
| RGPD | Support complet avec workflows AIPD | Couverture basique |
| AI Act europeen | Pris en charge | Non pris en charge |
| Residence des donnees | Allemagne (UE) | Heberge aux Etats-Unis |
| Langues | Anglais, allemand, francais, espagnol, neerlandais, italien | Anglais uniquement |
| Generation de politiques IA | Generation de projets pour examen humain | Auto-generation alleguee sans verification |
| Reporting BaFin | Modeles integres | Non disponible |
| Transparence tarifaire | Niveaux publies | Non communiquee |
| Integrite de la page de confiance | Reflete le statut de conformite reel | Sous investigation |
| Statut de l'entreprise | En activite, financee, en croissance | Demonstrations desactivees, investisseurs prenant leurs distances |
Qui devrait changer
Passez a Matproof si vous :
- Etes une entreprise europeenne soumise a DORA, NIS2 ou au RGPD et avez besoin d'une plateforme qui repond aux exigences de residence des donnees de l'UE
- Avez besoin d'une conformite qui resistera a l'examen reglementaire, pas seulement a une verification superficielle
- Souhaitez travailler avec des auditeurs independants et accredites plutot qu'un reseau ferme
- Operez dans les services financiers, la sante ou les infrastructures critiques ou les defaillances de conformite entrainent des consequences serieuses
- Avez besoin d'un support multilingue pour des equipes reparties dans des bureaux europeens
Envisagez d'autres alternatives si vous :
- Etes une entreprise SaaS uniquement basee aux Etats-Unis principalement concentree sur SOC 2 - Vanta ou Drata peuvent suffire
- N'avez besoin que d'un seul referentiel avec une complexite reglementaire minimale
- Avez une tres petite equipe et avez besoin de l'option la moins couteuse possible
Aller de l'avant
Le scandale Delve est un signal d'alarme pour le secteur de la conformite. L'IA peut reellement ameliorer les workflows de conformite - automatiser la collecte de preuves, identifier les lacunes de controle, rediger des politiques et rationaliser la preparation aux audits. Ce sont des capacites reelles et precieuses.
Mais l'IA ne peut pas remplacer le travail sous-jacent de mise en oeuvre des controles, de formation des employes, de conduite d'evaluations de securite reelles et de construction de processus qui protegent les donnees et les operations. Toute plateforme qui suggere le contraire vend du theatre de conformite.
Si vous reevaluez votre plateforme de conformite, commencez par une question simple : cet outil m'aide-t-il a devenir conforme, ou m'aide-t-il a paraitre conforme ? La difference entre ces deux resultats est la difference entre construire une organisation resiliente et construire une responsabilite.
Matproof est concu pour le premier resultat. Si c'est ce dont vous avez besoin, nous serions ravis de vous montrer comment cela fonctionne.