Le ministère du Commerce propose des exigences en matière de reporting sur la cybersécurité/IA et de « KYC » pour certains fournisseurs de cloud | JD Supra
Les fournisseurs IaaS devraient vérifier l’identité des utilisateurs étrangers (« connaître votre client ») et signaler certaines activités de formation de modèles d’IA en vertu des règles proposées.
Le Bureau of Industry and Security (« BIS ») du Département américain du Commerce (« Commerce ») a publié un règle proposée (la « Règle proposée ») qui imposerait des exigences importantes en matière de diligence, de reporting et de tenue de registres aux fournisseurs américains d’infrastructure en tant que service (IaaS) et à leurs revendeurs étrangers. L’IaaS est généralement considéré comme un modèle de cloud computing qui offre aux utilisateurs un accès à distance aux serveurs, au stockage, au réseau et à la virtualisation.
La règle proposée exigerait que les fournisseurs IaaS américains :
- Mettre en œuvre et maintenir un « Programme d’identification des clients » (CIP), qui doit inclure des procédures détaillées de connaissance du client (KYC) pour identifier et signaler les clients étrangers au Commerce ; et
- Déclarer les transactions impliquant des personnes étrangères qui « pourraient entraîner dans la formation d’un grand modèle d’IA avec des capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes.
Le BIS a sollicité les commentaires du public sur « tous les aspects de la règle proposée » et a spécifiquement sollicité des commentaires sur divers sujets. Les commentaires sont attendus par 29 avril 2024, et peut être soumis via le Portail fédéral de création de règles électroniques.
La règle proposée met en œuvre les mandats de deux décrets : OCOM 13984, « Prendre des mesures supplémentaires pour faire face à l’urgence nationale concernant d’importantes activités cybernétiques malveillantes, » (« EO 13984 »), et EO 14110, « Développement et utilisation sûrs, sécurisés et dignes de confiance de l’intelligence artificielle » (« EO 14110 » ou « AI EO »). La règle proposée fait également écho à une initiative plus large de l’administration Biden-Harris visant à apporter « des changements fondamentaux à la dynamique sous-jacente de l’écosystème numérique », comme indiqué dans le document de l’administration. Stratégie nationale de cybersécurité (« NCS ») publié au printemps 2023 (pour plus d’informations sur le NCS, voir la couverture de DWT ici.). Entre autres choses, le NCS ordonne au gouvernement fédéral de mettre en œuvre l’EO 13984 en développant des exigences de type KYC pour les fournisseurs IaaS.
Fournisseurs américains de produits IaaS
La règle proposée définit les « fournisseurs IaaS américains » couverts comme « toute personne américaine qui propose un produit IaaS ». Le « produit IaaS » est défini au sens large comme :
[A] produit ou service offert à un consommateur. . . qui fournit du traitement, du stockage, des réseaux ou d’autres ressources informatiques fondamentales, et avec lequel le consommateur est en mesure de déployer et d’exécuter des logiciels qui ne sont pas prédéfinis, y compris des systèmes d’exploitation et des applications. Le consommateur ne gère ni ne contrôle généralement la plupart du matériel sous-jacent, mais contrôle les systèmes d’exploitation, le stockage et toutes les applications déployées.
Le « produit IaaS » est défini comme incluant à la fois les offres « virtualisées » typiques des produits décrits comme « IaaS », dans lesquels plusieurs clients utilisent des serveurs virtualisés hébergés sur une seule machine, ainsi que les offres « dédiées » typiques des centres de données gérés, où le fournisseur héberge des ordinateurs dédiés au service d’un seul client. Comme décrit plus en détail ci-dessous, les fournisseurs IaaS américains sont responsables, en vertu de la règle proposée, à la fois de leur propre conformité et de celle de leurs « revendeurs étrangers ». Par revendeurs étrangers, on entend toute personne étrangère qui a établi une relation commerciale formelle avec un fournisseur IaaS américain pour revendre le produit IaaS de ce fournisseur à des tiers.
Programme d’identification des clients et exigences KYC
L’EO 13984, publié par le président Trump en janvier 2021, ordonne au Commerce de proposer des exigences aux fournisseurs IaaS américains pour qu’ils vérifient l’identité des personnes étrangères qui s’inscrivent ou maintiennent des comptes pour utiliser les produits IaaS des fournisseurs. Entre autres choses, l’EO donne également au Commerce le pouvoir d’exempter les fournisseurs IaaS américains des exigences de vérification des clients sur la base d’exigences à énumérer et d’empêcher les fournisseurs IaaS américains et leurs revendeurs d’offrir des produits IaaS à des personnes étrangères ou dans des juridictions étrangères associées à des « activités malveillantes ». activités cybernétiques.
Programme d’identification des clients
La règle proposée mettrait en œuvre l’EO 13984, notamment en exigeant que les fournisseurs IaaS américains et leurs revendeurs étrangers élaborent et maintiennent un CIP écrit. Le CIP doit définir comment les fournisseurs et leurs revendeurs étrangers détermineront si les propriétaires effectifs des clients IaaS sont des personnes américaines, collecteront et stockeront des informations d’identification sur les clients étrangers, vérifieront l’identité des clients étrangers et informeront les clients de la divulgation d’informations d’identification au gouvernement fédéral. .
La règle proposée contient une liste d’exigences minimales concernant les informations qui doivent être collectées :le nom du client, son adresse, le moyen et la source de paiement pour le compte de chaque client, les adresses e-mail et les numéros de téléphone, ainsi que les adresses de protocole Internet (IP) utilisées pour l’accès ou l’administration du compte. Le commerce recherche spécifiquement des commentaires sur les formes d’identification, telles que l’identification numérique ou basée sur la technologie, devrait être incluse comme moyen acceptable par lequel les fournisseurs d’IaaS peuvent vérifier l’identité des clients. Le Département du commerce note également que le CIP doit être adapté de manière appropriée à la taille du fournisseur IaaS, aux risques généraux et au type de produits proposés.
Le Commerce estime que bon nombre de ces mesures sont déjà prises par les fournisseurs IaaS, mais sollicite des commentaires sur les coûts associés à la mise en place d’un tel programme.
Exigences pour les revendeurs étrangers
Les exigences CIP s’étendent aux revendeurs étrangers d’IaaS américains, qui doivent également maintenir un CIP écrit. Selon la règle proposée, l’application des exigences CIP aux revendeurs étrangers incombe entièrement au fournisseur IaaS américain ; il n’existe aucun mécanisme direct d’application par le gouvernement fédéral pour les revendeurs étrangers. De ce fait, le non-respect peut entraîner la résiliation de la relation revendeur.
Exigences de déclaration
La règle proposée exigerait des soumissions initiales et annuelles au Département du commerce. Les soumissions détailleraient certains aspects des CIP des fournisseurs et indiqueraient qu’ils ont révisé leur CIP et l’ont ajusté pour tenir compte des changements dans le paysage des menaces. La soumission comprendrait également une attestation du fournisseur IaaS américain et de chacun de ses revendeurs étrangers. que leur Le CIP actuel est conforme et indique la fréquence à laquelle il n’a pas été en mesure de vérifier l’identité d’un client étranger au cours de l’année civile précédente et le nombre de fois où le fournisseur a refusé d’ouvrir un compte. Le Commerce a demandé des commentaires sur les détails des attestations annuelles. Tous les fournisseurs IaaS américains seraient également tenus de fournir une copie de leur CIP – et de tout CIP de leurs revendeurs étrangers – au Commerce sur demande. Si des lacunes sont identifiées, le Département du commerce peut exiger des mesures correctives et une nouvelle soumission du CIP.
De plus, les fournisseurs IaaS doivent informer le Commerce lorsque (1) un changement important dans les opérations commerciales ou la structure de l’entreprise s’est produit ou qu’un changement important d’un CIP a été mis en œuvre, ou (2) il y a un changement dans ses activités ou celles de l’un de ses revendeurs étrangers. contact principal responsable du PAC.
Mesures spéciales
Si le Département du commerce détermine qu’une juridiction étrangère ou une personne étrangère mène des activités cybernétiques malveillantes à l’aide de produits IaaS américains, il peut exiger des « mesures spéciales » qui pourraient inclure des interdictions ou des conditions imposées à certaines personnes ou juridictions étrangères. Le Commerce sollicite des commentaires sur les considérations prises avant de prendre des mesures spéciales.
Exonérations
Le commerce peut exempter tout fournisseur, tout type spécifique de compte IaaS ou tout revendeur étranger spécifique de la règle proposée. Des exemptions pourraient être accordées lorsqu’un fournisseur, son revendeur étranger ou un compte IaaS démontre qu’il met en œuvre les meilleures pratiques de sécurité pour dissuader les abus des produits IaaS.
Exigences en matière de rapports sur l’IA
L’AI EO ordonne au Commerce d’exiger des fournisseurs IaaS américains qu’ils veillent à ce que leurs revendeurs étrangers vérifient l’identité des utilisateurs étrangers et autorise l’agence à adopter des exigences de déclaration lorsque les fournisseurs IaaS américains offrent à des personnes étrangères la possibilité de former un « grand modèle d’IA avec des capacités potentielles qui pourrait être utilisé dans le cadre d’activités cybernétiques malveillantes. La règle proposée définit actuellement la portée du modèle d’IA avec des capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes comme n’importe quel « avec le conditions techniques d’un modèle de base à double usage ou qui présente des paramètres techniques préoccupants, qui possède des capacités qui pourraient être utilisées pour faciliter ou automatiser certains aspects d’activités cybernétiques malveillantes, y compris, mais sans s’y limiter, les attaques d’ingénierie sociale, la découverte de vulnérabilités, le déni -attaques de service, empoisonnement des données, sélection et priorisation des cibles, génération et/ou propagation de désinformation ou de désinformation, et commande et contrôle à distance des cyber-opérations. » Comme indiqué ci-dessous, le Commerce sollicite des commentaires sur cette définition et son applicabilité.
Rapport sur la formation de grands modèles d’IA
La règle proposée décrit un processus permettant aux fournisseurs américains d’IaaS de signaler au Commerce lorsqu’ils « savent » qu’ils s’engageront ou ont participé à certaines transactions « couvertes » avec une personne étrangère qui pourraient permettre à cette personne étrangère de former un « grand modèle d’IA ». avec des capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes. Le Commerce sollicite des commentaires sur la définition d’un « grand modèle d’IA… qui pourrait être utilisé dans des activités cybernétiques malveillantes » et sur les signaux d’alarme, le cas échéant, que le Commerce devrait adopter qui créeraient une présomption qu’une personne étrangère se forme. un modèle. La règle proposée exigerait également que les fournisseurs IaaS américains exigent que leurs revendeurs étrangers soumettent le même rapport lorsque ces entités ont « connaissance » de la réalisation d’une transaction couverte ou que le fournisseur ou le revendeur a « connaissance » qu’une transaction couverte a eu lieu.
Les « transactions couvertes » sont définies comme toute transaction « effectuée par, pour ou au nom d’une personne étrangère » : (1) « qui aboutit ou pourrait entraîner la formation d’un grand modèle d’IA avec de potentielles activités cybernétiques malveillantes » ; ou, (2) »dans lequel les arrangements initiaux prévus dans les termes de la transaction pas entraîner la formation d’un grand modèle d’IA doté de capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes, mais un développement ou une mise à jour des accords signifie que la transaction aboutit désormais ou pourrait aboutir à la formation d’un grand modèle d’IA doté de capacités potentielles qui pourraient être utilisés dans le cadre d’activités cybernétiques malveillantes.c’est à dire. le nom, l’adresse du client, le moyen et la source de paiement du compte client, les adresses email, les numéros de téléphone et les adresses IP).
En conjonction avec la règle proposée, le Commerce définirait un ensemble de conditions techniques qu’un grand modèle d’IA doit posséder afin de disposer des capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes. Ces conditions techniques constitueraient une interprétation contraignante de ce qui constitue un « grand modèle d’IA doté de capacités potentielles qui pourraient être utilisées dans des activités cybernétiques malveillantes » aux fins de la règle proposée.
Pénalités
Les violations du règlement proposé entraîneraient une sanction civile ne dépassant pas le plus élevé des montants suivants : 250 000 $ par violation ou un montant correspondant au double du montant de la transaction qui est à l’origine de la violation pour laquelle la pénalité est imposée. Des sanctions pénales peuvent être imposées à toute personne qui tente ou conspire délibérément pour enfreindre la règle proposée, qui ne peuvent pas dépasser 1 000 000 $, et passibles d’une peine d’emprisonnement pouvant aller jusqu’à 20 ans.
[View source.]