Le Hamas a envoyé des messages mitigés en réponse à Trump

Une classe 7-reclicite avec huit mois

Une femme de Californie a été jugée sur plus de 8 ans d’un…

#image_title
cybersécurité

BIS propose des exigences KYC et d’autres exigences en matière de cybersécurité sur les services cloud et la formation en IA | JD Supra

Lire aussi :

Selon Skillsoft, la cybersécurité, l’IA et les données…

AI Pulse : Siri salue OpenAI, Deepfake Olympics et plus…

Le 29 janvier 2024, le Bureau of Industry and Security (BIS) du Département du Commerce a publié un avis de proposition de réglementation (NPRM) introduisant un programme d’identification des clients (CIP) et d’autres exigences applicables aux fournisseurs américains et aux revendeurs étrangers d’Infrastructure as a Service ( IaaS). La proposition comprend également des exigences de déclaration couvrant les transactions étrangères avec les services cloud américains pour former« Des modèles fondamentaux d’IA à double usage qui peuvent permettre des cyberactivités malveillantes. Le NPRM met en œuvre des décrets visant à lutter contre les menaces pesant sur les infrastructures critiques des États-Unis ou sur la sécurité nationale posées par des activités malveillantes cybernétiques.

Le département du Commerce sollicite des commentaires sur les règles proposées pendant 90 jours, les soumissions devant être soumises à l’agence d’ici le 29 avril 2024. Les principales caractéristiques du NPRM et les domaines nécessitant des commentaires sont résumés ci-dessous.

Programme d’identification des clients

La nouvelle règle exigerait que les fournisseurs américains de produits IaaS (y compris les revendeurs américains) mettent en œuvre et maintiennent un programme d’identification des clients (CIP) écrit et basé sur les risques. Le CIP est un programme de connaissance du client (KYC) qui consisterait en des procédures de collecte de données permettant de déterminer et de vérifier l’identité des clients actuels et potentiels. Il est important de noter que l’exigence s’étend à la confirmation des bénéficiaires effectifs. Pour de nombreuses entreprises, les exigences vont au-delà des informations d’identification actuellement collectées auprès des clients. De plus, les fournisseurs IaaS américains devraient veiller à ce que les revendeurs étrangers de leurs produits IaaS maintiennent et mettent en œuvre des programmes CIP adéquats. Le fournisseur IaaS américain devrait mettre fin à ses relations avec les revendeurs étrangers qui ne se conforment pas correctement. Pour réduire les fardeaux de conformité, le Ministère propose de permettre aux revendeurs étrangers, par accord, d’adopter ou de référencer les programmes CIP créés par les fournisseurs IaaS américains. Les fournisseurs devraient déclarer au Commerce qu’eux-mêmes et leurs revendeurs étrangers disposent d’un CIP, et certifier chaque année les informations concernant le CIP par la suite. Bien que le Ministère envisage une période d’ajustement, le respect de toute règle définitive serait requis dans l’année suivant la publication.

En réponse aux commentaires, le ministère a précisé que les filiales étrangères des fournisseurs américains d’IaaS ne seraient pas couvertes par l’interprétation actuelle des règles.

De plus, le NPRM envisage un mécanisme pour demander une exemption des exigences du CIP et sollicite des commentaires sur les normes et procédures proposées pour les statuer. Le Département accueille également favorablement les informations concernant (1) les meilleures pratiques de sécurité pour dissuader l’abus des produits IaaS américains et (2) les activités de sphère de sécurité qui peuvent constituer la base d’une exemption.

Mesures spéciales

Le NPRM propose une procédure pour imposer des restrictions à certaines personnes étrangères ouvrant ou maintenant des comptes IaaS. Notamment, le Département serait habilité à imposer des restrictions à des acteurs étrangers spécifiques et à tous les clients actuels et potentiels dans une juridiction étrangère spécifiée. Si le Département exerce ce pouvoir, les entreprises devront mettre en place des procédures pour garantir que les parties étrangères interdites ne peuvent pas ouvrir ou maintenir des comptes. Le Ministère ferait l’objet d’une enquête approfondie, de son propre chef ou sur recommandation d’autres agences exécutives ou prestataires, pour déterminer s’il existe les motifs raisonnables suivants qui justifient une intervention spéciale :

  • Pour les acteurs étrangers, le Ministère devrait trouver des motifs raisonnables selon lesquels la personne a établi un modèle de conduite consistant à proposer des produits IaaS américains utilisés pour des activités cybernétiques malveillantes ou à obtenir directement des produits IaaS américains pour les utiliser dans des activités cybernétiques malveillantes ; et
  • Pour les juridictions étrangères, le Ministère devrait trouver un nombre important de personnes étrangères proposant des produits IaaS américains qui sont, à leur tour, utilisés pour des activités cybernétiques malveillantes, ou un nombre important de personnes étrangères obtenant directement des produits IaaS américains et les utilisant dans activités cybernétiques malveillantes.

Formation IA

Conformément au décret, la règle proposée exigerait des rapports au ministère sur les cas de ​« courses de formation » par des étrangers pour ​« de grands modèles d’IA susceptibles de mener à des activités cybernétiques malveillantes. Cette exigence couvrirait les transactions qui résultent ou pourrait résultat en formation IA répondant à certaines conditions techniques. Les prestataires devraient intégrer des procédures pour identifier les transactions potentielles à déclarer.

À titre d’exemple, le Ministère note qu’une société étrangère proposant de former un grand modèle d’IA sur l’infrastructure informatique d’un fournisseur IaaS américain – et signant un accord pour fournir une telle formation – serait couverte par l’exigence proposée dans la mesure où l’IA les spécifications du modèle répondent à certaines conditions techniques. À ce stade, la norme du ministère pour déterminer quelles conditions techniques déclenchent l’exigence de déclaration de l’IA ferait référence aux règles interprétatives publiées dans le Federal Register et serait mise à jour en fonction des progrès technologiques.

Néanmoins, le Ministère sollicite des commentaires sur (1) la définition de ​« de grands modèles d’IA susceptibles de mener à des activités cybernétiques malveillantes » et (2) quels signaux d’alarme le Ministère devrait adopter qui créeraient une présomption qu’une personne étrangère forme un modèle d’IA répondant aux conditions techniques requises.

Le NPRM présente plusieurs autres éléments et considérations liés à la proposition, notamment les exigences en matière de collecte de données et une discussion sur les charges financières associées à la mise en œuvre d’un programme CIP. Et le ministère sollicite des commentaires sur plusieurs autres domaines de la règle, notamment les défis auxquels les fournisseurs américains d’IaaS peuvent être confrontés pour enquêter et remédier aux cyberactivités malveillantes, l’impact potentiel de la règle sur les petites entreprises, et bien plus encore. Encore une fois, de tels commentaires doivent être reçus par le Ministère au plus tard le 29 avril 2024.

[View source.]

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Selon Skillsoft, la cybersécurité, l’IA et les données dominent…

AI Pulse : Siri salue OpenAI, Deepfake Olympics et plus encore

IBM Consulting et Microsoft collaborent pour aider leurs clients à…

Les fabricants britanniques adoptent l’IA pour renforcer la…

Décrypter l’IA : analyser son impact sur la cybersécurité

La CISA organise son premier exercice de simulation sur la…

1 De 240

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite