AWS Audit Manager - Questions fréquentes (FAQ)

Un framework peut être un ensemble de contrôles prédéfinis et/ou définis par le client. Ces contrôles sont organisés et regroupés conformément aux exigences d'une norme de conformité ou d'une norme industrielle spécifique telle que PCI DSS, HIPAA, GDPR, ou aux principes directeurs de la gouvernance interne des risques.

Un contrôle est une description prescriptive qui explique comment mettre en œuvre une procédure pour se conformer à une règle donnée, telle qu'une exigence de conformité. Il fournit une garantie raisonnable que les ressources utilisées par votre organisation fonctionnent normalement, que les données sont fiables et que votre organisation est en conformité avec les lois et les règlements applicables.

AWS Audit Manager vous permet de définir vos propres contrôles pour collecter des preuves à partir de sources de données spécifiques, afin de vous aider à répondre à des exigences de conformité uniques.

Un contrôle commun recueille des preuves qui peuvent étayer une série d’obligations de conformité qui se chevauchent. Chaque contrôle commun comprend un ou plusieurs contrôles principaux qui collectent des preuves à partir d’un groupe prédéfini de sources de données gérées par AWS. AWS met à jour ces sources de données sous-jacentes pour vous lorsque les réglementations et les normes changent et que de nouvelles sources de données sont identifiées.

Une évaluation AWS Audit Manager est une mise en œuvre d’un framework AWS Audit Manager. En utilisant un cadre comme point de départ, vous pouvez créer une évaluation et définir les comptes AWS que vous souhaitez inclure dans la portée de votre audit. Après la création de votre évaluation, AWS Audit Manager commence à évaluer automatiquement les ressources de vos comptes et services AWS sur la base des contrôles définis dans le cadre. Ensuite, il collecte des preuves pertinentes et les convertit dans un format convivial pour les auditeurs, puis les joint aux contrôles de votre évaluation.

Une évaluation de ressource est un processus qui permet de collecter, de stocker et de gérer des preuves que vous pouvez utiliser pour évaluer les risques et la conformité aux normes et réglementations sectorielles. Lorsque vous définissez et lancez une évaluation basée sur un framework, Audit Manager exécute une évaluation de chaque ressource, comme vos instances Amazon EC2, vos instances Amazon RDS, vos compartiments Amazon S3 ou vos sous-réseaux Amazon VPC.

Une preuve est un document qui contient les informations nécessaires pour démontrer la conformité aux exigences spécifiées par un contrôle. Une activité de changement déclenchée par un utilisateur ou un instantané de configuration du système sont des exemples de preuves.

Un rapport d'évaluation est un document finalisé généré à partir d'une évaluation d'AWS Audit Manager. Le rapport résume la preuve pertinente collectée pour votre audit. Le rapport renvoie aux dossiers de preuves pertinents qui sont nommés et organisés en fonction des contrôles qui sont spécifiés dans votre évaluation.

Vous pouvez commencer par configurer AWS Audit Manager dans AWS Management Console, l'interface de ligne de commande (CLI) AWS ou via l'API. La documentation d’AWS Audit Manager un didacticiel de démarrage qui fournit une présentation pratique d’AWS Audit Manager. Dans ce didacticiel, vous pouvez créer une évaluation à l'aide d'un framework standard et commencer la collecte automatisée de preuves.

Oui, AWS Audit Manager prend en charge plusieurs comptes grâce à l'intégration à AWS Organizations. L'intégration d'AWS Audit Manager et d'AWS Organizations vous permet d'effectuer une évaluation AWS Audit Manager sur plusieurs comptes et de consolider les preuves dans un compte d'administrateur délégué.

Vous pouvez spécifier le champ d’application en sélectionnant les comptes AWS lorsque vous lancez une évaluation à partir d’un cadre. Le cadre utilisé définit les services AWS auprès desquels AWS Audit Manager collecte les preuves. 

AWS Audit Manager vous fait gagner du temps en collectant et en organisant automatiquement les preuves définis par chaque exigence de contrôle. Grâce à Audit Manager, vous pouvez vous concentrer sur l'examen des preuves pertinentes pour vous assurer que vos contrôles fonctionnent normalement. Au moment d'un audit, AWS Audit Manager permet de gérer l'examen de vos contrôles par les parties prenantes et d'établir des rapports prêts pour l'audit en réduisant considérablement les opérations manuelles. Par exemple, la fonction de délégation vous permet d'assigner des contrôles dans votre évaluation à un expert pour qu'il les examine. Après avoir examiné et sélectionné les preuves pertinentes, vous êtes prêt à établir un rapport prêt pour l'audit qui comprend un résumé du rapport et un ensemble de dossiers contenant les peuvent détaillées.

Dans Audit Manager, vous pouvez obtenir une vue synthétique de votre évaluation que vous pouvez vérifier à tout moment. Le résumé contient les détails de l’évaluation, les contrôles, les rapports d’évaluation, les comptes AWS concernés, les propriétaires de l’audit, les balises et les journaux des modifications. Vous pouvez également cliquer sur chaque contrôle énuméré dans une évaluation pour examiner et mettre à jour ses informations détaillées, y compris l’examen des preuves recueillies, l’ajout de commentaires, le téléchargement de preuves manuelles, la vérification des journaux des modifications, la mise à jour du statut des contrôles ou la délégation à un membre de l’équipe.

AWS Audit Manager vous permet de déléguer un ensemble de contrôles qui contient une collection de contrôles à un autre utilisateur pour examen. Le délégué peut examiner les preuves, ajouter des commentaires, télécharger des preuves manuelles et mettre à jour le statut de chaque contrôles de l'ensemble de contrôles. Il peut vous renvoyer la vérification afin que vous puissiez vérifier l'ensemble de contrôles et les commentaires associés et enfin terminer la vérification de l'ensemble de contrôles.

La bibliothèque des frameworks est l'emplacement central à partir duquel vous pouvez accéder aux frameworks et les gérer dans AWS Audit Manager. Elle contient un catalogue de frameworks standard prédéfinis par Audit Manager tels que PCI DSS, CIS Foundation Benchmark, HIPAA et des frameworks personnalisés que vous définissez. Il existe deux façons de créer un cadre personnalisé. Vous pouvez faire une copie modifiable d’un cadre existant ou créer un nouveau cadre à partir de zéro. Lorsque vous créez un cadre personnalisé, vous pouvez ajouter des contrôles à partir de la bibliothèque des contrôles d’Audit Manager et organiser les contrôles en ensembles de contrôles de manière en fonction de vos besoins.

La bibliothèque des contrôles est l'emplacement central à partir duquel vous pouvez accéder et aux contrôles et les gérer dans AWS Audit Manager. Elle contient un catalogue de contrôles standard prédéfinis par Audit Manager et des contrôles personnalisés que vous définissez. Il existe deux façons de créer un contrôle personnalisé. Vous pouvez créer une copie modifiable d’un cadre existant ou créer un nouveau contrôle à partir de zéro. Lors de la création d’un contrôle personnalisé, vous pouvez spécifier le nom du contrôle, sa description, les informations relatives aux tests et les sources de preuves à partir desquelles vous souhaitez qu’Audit Manager recueille automatiquement des preuves. Vous pouvez également créer un contrôle personnalisé qui ne demande que des preuves manuelles pour appuyer les contrôles qui nécessitent des preuves non-système telles que l’organisation des personnes et les procédures opérationnelles.

AWS Audit Manager peut collecter automatiquement des preuves à partir de quatre types de sources de données :

• AWS CloudTrail : capturez l’activité des utilisateurs à partir de vos journaux CloudTrail, par exemple en cas de modification de la politique de chiffrement des compartiments S3. Le résultat est importé en tant que preuve de l’activité de l’utilisateur.
• AWS Security Hub : collectez les résultats de Security Hub, tels qu’une vérification de Security Hub relative à un contrôle PCI DSS. Le résultat est importé en tant que preuve de contrôle de conformité.
• AWS Config : collectez des évaluations de règles directement depuis AWS Config, comme une règle AWS Config liée à un contrôle HIPAA. Le résultat est importé en tant que preuve de contrôle de conformité.
• Appels d’API AWS : capturez un instantané des ressources, tel qu’une configuration d’instance EC2. La réponse est importée en tant que preuve des données de configuration.

Lorsque vous configurez un contrôle personnalisé dans Audit Manager, nous vous recommandons de sélectionner les sources gérées par AWS. Il s’agit de groupes prédéfinis de sources de données qui représentent un contrôle commun ou un contrôle principal. Chaque fois qu’une source gérée par AWS est mise à jour, les mêmes mises à jour sont automatiquement appliquées à tous les contrôles personnalisés qui utilisent ces sources.

Vous pouvez également sélectionner les sources gérées par le client et définir vos propres sources de données. Cela vous donne la possibilité d’ajouter des preuves manuelles ou de collecter des preuves automatisées à partir d’une ressource spécifique à l’entreprise, telle qu’une règle AWS Config personnalisée.

Dans AWS Audit Manager, la fréquence de collecte des preuves dépend du type de preuve, comme expliqué ci-dessous :

• Le type de preuve des données de configuration, qui comprend les instantanés de la configuration des ressources, est capturé directement à partir des services AWS (par exemple, EC2, S3, RDS, VPC, etc.) selon une fréquence quotidienne, hebdomadaire ou mensuelle. Vous pouvez configurer cette fréquence dans Audit Manager.
• Le type de preuve d'activité de l'utilisateur est capturé à partir des journaux AWS CloudTrail lorsqu'il est déclenché par des changements de configuration des ressources.
• Le type de preuve de contrôle de conformité, qui comprend les résultats d'AWS Security Hub et/ou d'AWS Config, est capturé à une fréquence définie dans ces deux services. Il peut être périodique ou déclenché par des changements de configuration des ressources.

AWS Security Hub surveille votre environnement à l'aide de contrôles de sécurité automatisés basés sur les bonnes pratiques AWS et les sectorielles, afin que vous puissiez prendre des mesures correctives en fonction des résultats. AWS Audit Manager importe les résultats Security Hub pour les normes de conformité prises en charge, telles que CIS Foundations Benchmark et PCI. AWS Audit Manager effectue automatiquement des analyses supplémentaires et ajoute des annotations aux résultats de Security Hub, afin de générer des preuves pour les services AWS qui sont contrôlés par AWS Security Hub.

AWS CloudTrail permet de consigner, surveiller en continu et conserver l'activité des comptes relatives aux actions effectuées sur l'ensemble de votre infrastructure AWS. Audit Manager collecte les données de journal directement à partir de CloudTrail et effectue des analyses supplémentaires. Audit Manager annote les données afin de générer automatiquement des preuves pour plus de 175 services AWS qui alimentent les journaux dans AWS CloudTrail.

AWS Config surveille et enregistre en permanence les configurations de vos ressources AWS et vous permet d'automatiser l'évaluation des configurations enregistrées par rapport aux configurations souhaitées. Audit Manager collecte les données de journal à partir d'AWS Config et effectue des analyses supplémentaires. Audit Manager annote ces données afin de générer automatiquement des preuves pour les services AWS surveillés par AWS Config.

AWS Control Tower fournit le moyen le plus simple de configurer et de gérer un nouvel environnement AWS multi-compte sécurisé et basé sur les bonnes pratiques établies grâce à l'expérience AWS issue de la collaboration avec des milliers d'entreprises qui migrent vers le cloud. AWS Audit Manager importe les journaux des barrières de protection de Control Tower et effectue des analyses supplémentaires. Audit Manager annote ces données afin de générer automatiquement des preuves pour les services AWS suivis par les journaux des barrières de protection Control Tower.

Amazon EventBridge est un service d'intégration sans serveur qui utilise les événements pour relier les composants d'application entre eux, ce qui permet aux développeurs de créer plus facilement des applications évolutives basées sur les événements. Vous pouvez utiliser les règles EventBridge pour détecter et réagir aux événements d'Audit Manager tels que les notifications de changement d'état chaque fois qu'une évaluation est créée, modifiée ou supprimée. Vous pouvez également utiliser les règles EventBridge pour détecter les modifications apportées à un flux de travail de délégation ou à un statut de révision du contrôle des évaluations.

Amazon Bedrock est un service entièrement géré qui met à disposition les modèles de fondation (FM) d'Amazon et d'autres grandes sociétés d'IA via une API, ce qui vous permet d'ajuster en privé les grands modèles de langage (LLM) existants avec les données de votre organisation. AWS Audit Manager fournit un cadre de bonnes pratiques génératives en matière d'IA générative pour les clients Amazon Bedrock. Vous pouvez déployer ce cadre de bonnes pratiques via AWS Audit Manager dans les comptes sur lesquels vous exécutez vos modèles et applications d'IA générative, afin de recueillir des preuves qui vous aideront à contrôler la conformité aux politiques prévues.

AWS Audit Manager s'est intégré à MetricStream, partenaire AWS et fournisseur de solutions de gouvernance, de gestion des risques et de conformité (GRC). Cette intégration vous permet d'importer des preuves de votre utilisation et de vos configurations d'AWS directement depuis Audit Manager dans votre MetricStream CyberGRC. Pour en savoir plus, consultez la documentation d'Audit Manager.