Ces dernières semaines, le cas Delve a mis sur la table une question inconfortable pour le secteur du compliance.

Que se passe-t-il lorsque la conformité cesse de se concentrer sur la gestion des risques et devient uniquement une apparence ?

Delve, startup américaine spécialisée dans le compliance réglementaire autour de SOC 2, GDPR ou ISO 27001, promettait de révolutionner le secteur grâce à l’automatisation, aux intégrations automatiques, à l’intelligence artificielle et à des certifications obtenues en quelques jours.

Le message était extrêmement attractif : réduire la complexité du compliance à un processus rapide, automatisé et pratiquement immédiat.

Et le marché a répondu.

L’entreprise a obtenu une forte visibilité, des investissements importants et une valorisation de plusieurs millions en très peu de temps.

Cependant, il y a quelques semaines, des accusations très graves ont commencé à apparaître après une fuite d’informations qui aurait affecté des centaines de clients.

Parmi les accusations formulées contre l’entreprise :

• ne pas appliquer réellement l’intelligence artificielle aux contrôles, contrairement à ce qui était annoncé
• ne pas réaliser les intégrations automatiques promises
• réutiliser procédures et politiques par simples “copy & paste”

Jusqu’ici, il pourrait s’agir de publicité trompeuse ou d’une vision excessivement agressive du business. Rien de particulièrement nouveau.

Mais les accusations vont plus loin.

Il est question de :

• rapports d’audit préfabriqués
• preuves fictives de réunions qui n’ont jamais eu lieu
• tests de contrôles jamais exécutés
• structures d’audit utilisées uniquement comme façade

Si tout cela se confirme, nous serions face à un cas extrême de ce que l’on pourrait appeler le fake compliance.

Le problème n’est pas seulement Delve

Au-delà du cas concret, le véritable débat est ailleurs.

Car la question inconfortable ne concerne pas uniquement ceux qui vendent ce type de services.

Elle concerne également ceux qui les achètent.

Dans quelle mesure certaines organisations acceptent-elles certains modèles de conformité parce que l’objectif réel n’est pas de gérer les risques, mais simplement d’obtenir le certificat ?

Quand la conformité se réduit à des livrables

Ces modèles partagent un même schéma :

• des contrôles documentés, mais non exécutés
• des preuves stockées, mais non vérifiées
• des systèmes conçus pour “passer” des audits, et non pour gérer les risques

En apparence, le système existe.

Mais dans la pratique, il n’apporte aucune sécurité réelle.

Pour l’expliquer simplement, ce serait comme obtenir le certificat du contrôle technique d’un véhicule sans que personne ne vérifie réellement la voiture.

Vous auriez le certificat.

Mais vous ne conduiriez probablement pas sereinement.

Ce qui est réellement en jeu

L’impact de ce type de situations va bien au-delà de la réputation d’une entreprise en particulier.

Ce qui est en jeu, c’est la confiance dans les systèmes de conformité.

Car si les preuves cessent d’être fiables, si les contrôles ne sont pas réellement exécutés et si les certifications cessent de refléter la réalité opérationnelle d’une organisation, le système perd complètement son sens.

Une réflexion nécessaire

L’automatisation, l’intelligence artificielle et l’efficacité sont positives et nécessaires.

Le problème n’est pas la technologie.

Le problème apparaît lorsque la conformité cesse d’être comprise comme un système de gestion et devient uniquement un produit que l’on livre.

Et cette différence devient de plus en plus importante.