Questions fréquentes (FAQ) sur AWS Audit Manager 

Q : Qu'est-ce qu'AWS Audit Manager ?

AWS Audit Manager vous aide à vérifier en permanence votre utilisation d'AWS afin de simplifier la manière dont vous évaluez les risques et la conformité aux réglementations et aux normes sectorielles. Audit Manager automatise la collecte de preuves afin de faciliter l'évaluation du bon fonctionnement de vos politiques, procédures et activités, également appelées contrôles. Au moment d'un audit, AWS Audit Manager permet de gérer l'examen de vos contrôles par les parties prenantes et d'établir des rapports prêts pour l'audit en réduisant considérablement les opérations manuelles. 

Q : Quels sont les principaux avantages d'AWS Audit Manager ?

• Mappez aisément votre utilisation d'AWS : AWS Audit Manager fournit des frameworks prédéfinis qui comprennent les mappages des ressources AWS pour contrôler les exigences des normes et réglementations sectorielles connues, telles que Health Insurance Portability and Accountability Act (HIPAA), le règlement général sur la protection des données (RGPD) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).
• Gagnez du temps avec la collecte automatisées des preuves : AWS Audit Manager vous fait gagner du temps en collectant et en organisant automatiquement les preuves en fonction de chaque exigence de contrôle.
• Simplifiez la collaboration entre les équipes : AWS Audit Manager simplifie la collaboration entre les parties prenantes des audits. Par exemple, la fonction de délégation vous permet d'assigner des contrôles dans votre évaluation à un expert pour qu'il les examine.
• Soyez toujours prêt à produire des rapports prêts pour l'audit : les preuves qu'Audit Manager collecte en continu et stocke en toute sécurité deviennent un enregistrement contenant les informations nécessaires pour démontrer la conformité aux exigences spécifiées par un contrôle.
• Garantissez l'intégrité du rapport d'évaluation et des preuves : AWS Audit Manager stocke les preuves dans son propre référentiel de stockage géré avec des autorisations en lecture seule pour vos utilisateurs finaux. Lorsque vous produisez des rapports prêts pour l'audit, Audit Manager produit un total de contrôle du fichier de rapport afin que vous puissiez valider que les preuves du rapport restent inchangées.

Q : Comment AWS Audit Manager m'aide-t-il à vérifier mon utilisation d'AWS ?

Les frameworks prédéfinis d'AWS Audit Manager vous aident à adapter l'utilisation de vos ressources AWS aux exigences des normes ou réglementations sectorielles, telles que le CIS AWS Foundations Benchmark, le Règlement Général sur la Protection des Données (RGPD) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Vous pouvez également personnaliser entièrement un framework et ses contrôles afin de répondre aux besoins spécifiques de votre entreprise.

Q : Quand faut-il utiliser AWS Audit Manager ?

AWS Audit Manager vous permet de passer de la collecte, de l'examen et de la gestion manuels des preuves à une solution qui automatise la collecte des preuves, fournit un moyen facile de suivre la chaîne de possession des preuves, et permet la collaboration des équipe et de gérer la sécurité et l'intégrité des preuves. Vous pouvez également utiliser Audit Manager pour prendre en charge l'audit continu et la conformité, ainsi que pour vos évaluations internes des risques.

Q : Quand est-ce que j'utilise AWS Audit Manager et AWS Security Hub ?

Vous devez utiliser les deux car ils se complètent. AWS Audit Manager est utilisé par les professionnels de l'audit et de la conformité pour évaluer en permanence la conformité aux réglementations et aux normes industrielles. AWS Security Hub est utilisé par les professionnels de la sécurité et de la conformité ainsi que par les ingénieurs DevOps pour surveiller et améliorer en permanence la sécurité de leurs comptes et ressources AWS. Security Hub effectue des contrôles de sécurité automatisés conformes aux différents cadres industriels et réglementaires. Audit Manager collecte automatiquement les résultats générés par ces contrôles Security Hub comme une forme de preuve et les combine avec d'autres preuves, comme les journaux AWS CloudTrail pour aider les clients à générer des rapports d'évaluation. Audit Manager couvre un ensemble complet de contrôles dans chaque cadre pris en charge, y compris les contrôles auxquels sont associées des preuves automatisées et les contrôles qui nécessitent le téléchargement de preuves manuelles, comme la présence d'un plan de réponse aux incidents. Security Hub se concentre sur la génération de preuves automatisées via ses contrôles de sécurité pour un sous-ensemble de contrôles dans chaque cadre pris en charge dans Audit Manager. Les contrôles qui nécessitent des preuves provenant d'autres services AWS, tels que CloudTrail, ou des preuves manuelles téléchargées par les utilisateurs ne sont pas couverts par Security Hub.

Q : Quelle est la structure de tarification d'AWS Audit Manager ?

Le prix d'AWS Audit Manager est basé sur le nombre d'évaluations de ressources effectuées par compte et par région. Lorsque vous définissez et lancez une évaluation basée sur un framework, Audit Manager exécute une évaluation de chaque ressource , comme vos instances Amazon EC2, vos instances Amazon RDS, vos compartiments Amazon S3 ou vos sous-réseaux Amazon VPC. Une évaluation de ressource est un processus qui permet de collecter, de stocker et de gérer des preuves que vous pouvez utiliser pour évaluer les risques et la conformité aux normes et réglementations sectorielles. Consultez également la tarification d'AWS Audit Manager.

Q : Est-ce que AWS Audit Manager me décharge de toute responsabilité en vertu des normes ou réglementations de conformité, telles que PCI DSS et RGPD ?

Non. Il vous aide à collecter et à préparer des preuves pour les audits. Bien qu'AWS ne fournisse pas de conseils juridiques ou de conformité, il vous permet d'économiser les milliers d'heures nécessaires à la production et à la collecte manuelles de preuves d'audit et de vous consacrer davantage à l'élimination des risques et à la planification des audits.

Q : AWS Audit Manager est-il un service régional ou mondial ?

C'est un service régional. Ainsi, toutes les preuves collectées sont basées sur la région et ne dépassent pas les frontières régionales d'AWS. Le client doit permettre au responsable de l'audit de chaque région de consulter les preuves dans cette région.

Q : Quelles régions AWS Audit Manager prend-il en charge ?

La disponibilité régionale d'AWS Audit Manager est répertoriée ici : Liste des services régionaux AWS

Q : Quelle est la liste des frameworks prédéfinis proposés par AWS Audit Manager ?

AWS Audit Manager fournit des cadres standard prédéfinis basés sur les bonnes pratiques AWS pour diverses réglementations et normes sectorielles. Les cadres prédéfinis dans AWS Audit Manager comprennent AWS Control Tower, AWS License Manager, CIS AWS Foundations Benchmark 1.2.0 et 1.3.0, implémentation CIS Controls v7.1 groupe 1, FedRAMP Moderate, le règlement général sur la protection des données (RGPD), GxP 21 CFR partie 11, la loi Health Insurance Privacy and Portability Act (HIPAA), la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) v3.2.1, Service Organization Control 2 (SOC 2) et NIST 800-53 (Rev 5). Reportez-vous à la liste exhaustive des cadres pris en charge dans la documentation d'AWS Audit Manager.

Question : Où AWS Audit Manager stocke-t-il les données des preuves ?

AWS Audit Manager stocke les preuves dans son propre dépôt de stockage géré avec des autorisations en lecture seule pour vos utilisateurs finaux. AWS Audit Manager vous permet de générer des rapports d'évaluation qui contiennent un document de synthèse et des dossiers de preuves, dans compartiments S3.

Q : Pendant combien de temps AWS Audit Manager stocke-t-il les données des preuves ?

Actuellement, AWS Audit Manager conserve les données des preuves pendant deux ans dans son propre référentiel de stockage géré avant de les supprimer.

Q : Quels sont les quotas de service d'AWS Audit Manager ?

• Nombre d'évaluations actives par compte : 100 
• Nombre de contrôles personnalisés par compte : 500 
• Nombre de frameworks personnalisés par compte : 100
  

Q : Qu'est-ce qu'un framework ?

Un framework peut être un ensemble de contrôles prédéfinis et/ou définis par le client. Ces contrôles sont organisés et regroupés conformément aux exigences d'une norme de conformité ou d'une norme industrielle spécifique telle que PCI DSS, HIPAA, GDPR, ou aux principes directeurs de la gouvernance interne des risques.

Q : Qu'est-ce qu'un contrôle ?

Un contrôle est une description prescriptive qui explique comment mettre en œuvre une procédure pour se conformer à une règle donnée, telle qu'une exigence de conformité. Il fournit une garantie raisonnable que les ressources utilisées par votre organisation fonctionnent normalement, que les données sont fiables et que votre organisation est en conformité avec les lois et les règlements applicables.

Q : Qu'est-ce qu'un contrôle personnalisé ?

AWS Audit Manager vous permet de définir vos propres contrôles pour collecter des preuves à partir de sources de données spécifiques, afin de vous aider à répondre à des exigences de conformité uniques.

Q : Qu'est-ce qu'une évaluation ?

Une évaluation AWS Audit Manager est une mise en œuvre d'un framework AWS Audit Manager. En utilisant un framework comme point de départ, vous pouvez créer une évaluation et définir les comptes et services AWS que vous souhaitez inclure dans le champ de votre audit. Après la création de votre évaluation, AWS Audit Manager commence à évaluer automatiquement les ressources de vos comptes et services AWS sur la base des contrôles définis dans le cadre. Ensuite, il collecte des preuves pertinentes et les convertit dans un format convivial pour les auditeurs, puis les joint aux contrôles de votre évaluation.

Q : Qu'est-ce qu'une évaluation de ressource ?

Une évaluation de ressource est un processus qui permet de collecter, de stocker et de gérer des preuves que vous pouvez utiliser pour évaluer les risques et la conformité aux normes et réglementations sectorielles. Lorsque vous définissez et lancez une évaluation basée sur un framework, Audit Manager exécute une évaluation de chaque ressource, comme vos instances Amazon EC2, vos instances Amazon RDS, vos compartiments Amazon S3 ou vos sous-réseaux Amazon VPC.

Q : Qu'est-ce qu'une preuve ?

Une preuve est un document qui contient les informations nécessaires pour démontrer la conformité aux exigences spécifiées par un contrôle. Une activité de changement déclenchée par un utilisateur ou un instantané de configuration du système sont des exemples de preuves.

Q : Qu'est-ce qu'un rapport d'évaluation ?

Un rapport d'évaluation est un document finalisé généré à partir d'une évaluation d'AWS Audit Manager. Le rapport résume la preuve pertinente collectée pour votre audit. Le rapport renvoie aux dossiers de preuves pertinents qui sont nommés et organisés en fonction des contrôles qui sont spécifiés dans votre évaluation.

Comment commencer à utiliser AWS Secrets Manager ?

Vous pouvez commencer par configurer AWS Audit Manager dans AWS Management Console, l'interface de ligne de commande (CLI) AWS ou via l'API. La documentation d'AWS Audit Manager un didacticiel de démarrage qui fournit une présentation pratique d'AWS Audit Manager. Dans ce didacticiel, vous pouvez créer une évaluation à l'aide d'un framework standard et commencer la collecte automatisée de preuves.

Q : AWS Audit Manager aide-t-il à gérer les preuves sur plusieurs comptes AWS ?

Oui, AWS Audit Manager prend en charge plusieurs comptes grâce à l'intégration à AWS Organizations. L'intégration d'AWS Audit Manager et d'AWS Organizations vous permet d'effectuer une évaluation AWS Audit Manager sur plusieurs comptes et de consolider les preuves dans un compte d'administrateur délégué.

Q : Comment spécifier le champ d’application d'une évaluation pour mon audit ?

Vous pouvez spécifier le champ d'application en sélectionnant les comptes AWS et les services AWS lorsque vous lancez une évaluation à partir d'un framework. Le framework utilisé définit les services AWS auprès desquels AWS Audit Manager collecte les preuves. Vous ajoutez ensuite les services AWS concernés lors de la création de l'évaluation basée sur ce framework.

Q : Comment AWS Audit Manager m'aide-t-il à gérer les audits ?

AWS Audit Manager vous fait gagner du temps en collectant et en organisant automatiquement les preuves définis par chaque exigence de contrôle. Grâce à Audit Manager, vous pouvez vous concentrer sur l'examen des preuves pertinentes pour vous assurer que vos contrôles fonctionnent normalement. Au moment d'un audit, AWS Audit Manager permet de gérer l'examen de vos contrôles par les parties prenantes et d'établir des rapports prêts pour l'audit en réduisant considérablement les opérations manuelles. Par exemple, la fonction de délégation vous permet d'assigner des contrôles dans votre évaluation à un expert pour qu'il les examine. Après avoir examiné et sélectionné les preuves pertinentes, vous êtes prêt à établir un rapport prêt pour l'audit qui comprend un résumé du rapport et un ensemble de dossiers contenant les peuvent détaillées.

Q : Comment vérifier une évaluation ?

Dans Audit Manager, vous pouvez obtenir une vue synthétique de votre évaluation que vous pouvez vérifier à tout moment. Le résumé contient les détails de l'évaluation, les contrôles, le(s) rapport(s) d'évaluation, les comptes AWS concernés, les services AWS concernés, le(s) propriétaire(s) de l'audit, les balises et le ChangeLog. Vous pouvez également cliquer sur chaque contrôle énuméré dans une évaluation pour examiner et mettre à jour ses informations détaillées, y compris l'examen des preuves recueillies, l'ajout de commentaires, le téléchargement de preuves manuelles, la vérification des journaux des modifications, la mise à jour du statut des contrôles ou la délégation à un membre de l'équipe.

Q : Comment déléguer à un expert l'examen des contrôles en mon nom ?

AWS Audit Manager vous permet de déléguer un ensemble de contrôles qui contient une collection de contrôles à un autre utilisateur pour examen. Le délégué peut examiner les preuves, ajouter des commentaires, télécharger des preuves manuelles et mettre à jour le statut de chaque contrôles de l'ensemble de contrôles. Il peut vous renvoyer la vérification afin que vous puissiez vérifier l'ensemble de contrôles et les commentaires associés et enfin terminer la vérification de l'ensemble de contrôles.

Q : Comment créer un framework personnalisé ?

La bibliothèque des frameworks est l'emplacement central à partir duquel vous pouvez accéder aux frameworks et les gérer dans AWS Audit Manager. Elle contient un catalogue de frameworks standard prédéfinis par Audit Manager tels que PCI DSS, CIS Foundation Benchmark, HIPAA et des frameworks personnalisés que vous définissez. Vous pouvez un framework personnalisé de deux façons. Vous pouvez personnaliser un framework existant, ou en créer un complètement. Lorsque vous créez un framework personnalisé, vous pouvez ajouter des contrôles à partir de la bibliothèque des contrôles d'Audit Manager et organiser les contrôles en ensembles de contrôles de manière en fonction de vos besoins.

Q : Comment créer un contrôle personnalisé ?

La bibliothèque des contrôles est l'emplacement central à partir duquel vous pouvez accéder et aux contrôles et les gérer dans AWS Audit Manager. Elle contient un catalogue de contrôles standard prédéfinis par Audit Manager et des contrôles personnalisés que vous définissez. Vous pouvez un contrôle personnalisé de deux façons. Vous pouvez personnaliser un contrôle existant, ou en créer un complètement. Lorsque vous créez un contrôle personnalisé, vous pouvez spécifier son nom, sa description, les informations de test et jusqu'à dix sources de données sur AWS à partir desquelles vous souhaitez qu'Audit Manager collecte automatiquement des preuves. Vous pouvez également créer un contrôle personnalisé qui ne demande que des preuves manuelles pour appuyer les contrôles qui nécessitent des preuves non-système telles que l'organisation des personnes et les procédures opérationnelles.

Q : Quelles sont les sources de données de contrôle à partir desquelles je peux automatiquement collecter des preuves ?

Lorsque vous configurez un contrôle personnalisé dans AWS Audit Manager, vous pouvez choisir de collecter des preuves automatisées pour ce contrôle. Vous pouvez sélectionner l'un des quatre types de sources de données de contrôle suivants pour les preuves automatisées :

• Activité utilisateur depuis AWS CloudTrail : la mise à jour de la table de routage, la modification des paramètres de sauvegarde des instances RDS et la modification de la politique de chiffrement des compartiments S3 sont des exemples d'activités utilisateur.
• Vérification de la conformité depuis AWS Security Hub : les vérifications Security Hub pour PCI DSS sont des exemples de vérifications de la conformité.
• Vérification de la conformité depuis AWS Config : les évaluations des règles Config pour RGPD sont des exemples de vérifications de la conformité.
• Données de configuration depuis les appels d'API AWS : La liste des routes d'une table de routage VPC, une liste de politiques IAM et une configuration d'instance EC2 sont des exemples de données de configuration.

Q : Quelle est la fréquence de collecte des preuves dans Audit Manager ?

Dans AWS Audit Manager, la fréquence de collecte des preuves dépend du type de preuve, comme expliqué ci-dessous :

• Le type de preuve des données de configuration, qui comprend les instantanés de la configuration des ressources, est capturé directement à partir des services AWS (par exemple, EC2, S3, RDS, VPC, etc.) selon une fréquence quotidienne, hebdomadaire ou mensuelle. Les clients peuvent configurer cette fréquence dans Audit Manager.
• Le type de preuve d'activité de l'utilisateur est capturé à partir des journaux AWS CloudTrail lorsqu'il est déclenché par des changements de configuration des ressources.
• Le type de preuve de contrôle de conformité, qui comprend les résultats d'AWS Security Hub et/ou d'AWS Config, est capturé à une fréquence définie dans ces deux services. Il peut être périodique ou déclenché par des changements de configuration des ressources.

Q : Comment Audit Manager travaille-t-il avec les autres services ?

AWS Security Hub surveille votre environnement à l'aide de contrôles de sécurité automatisés basés sur les bonnes pratiques AWS et les sectorielles, afin que vous puissiez prendre des mesures correctives en fonction des résultats. AWS Audit Manager importe les résultats Security Hub pour les normes de conformité prises en charge, telles que CIS Foundations Benchmark et PCI. AWS Audit Manager effectue automatiquement des analyses supplémentaires et ajoute des annotations aux résultats de Security Hub, afin de générer des preuves pour les services AWS qui sont contrôlés par AWS Security Hub.

AWS CloudTrail permet de consigner, surveiller en continu et conserver l'activité des comptes relatives aux actions effectuées sur l'ensemble de votre infrastructure AWS. Audit Manager collecte les données de journal directement à partir de CloudTrail et effectue des analyses supplémentaires. Audit Manager annote les données afin de générer automatiquement des preuves pour plus de 175 services AWS qui alimentent les journaux dans AWS CloudTrail.

AWS Config surveille et enregistre en permanence les configurations de vos ressources AWS et vous permet d'automatiser l'évaluation des configurations enregistrées par rapport aux configurations souhaitées. Audit Manager collecte les données de journal à partir d'AWS Config et effectue des analyses supplémentaires. Audit Manager annote ces données afin de générer automatiquement des preuves pour les services AWS surveillés par AWS Config.

AWS Control Tower fournit le moyen le plus simple de configurer et de gérer un nouvel environnement AWS multi-compte sécurisé et basé sur les bonnes pratiques établies grâce à l'expérience AWS issue de la collaboration avec des milliers d'entreprises qui migrent vers le cloud. AWS Audit Manager importe les journaux des barrières de protection de Control Tower et effectue des analyses supplémentaires. Audit Manager annote ces données afin de générer automatiquement des preuves pour les services AWS suivis par les journaux des barrières de protection Control Tower.

Amazon EventBridge est un service d'intégration sans serveur qui utilise les événements pour relier les composants d'application entre eux, ce qui permet aux développeurs de créer plus facilement des applications évolutives basées sur les événements. Vous pouvez utiliser les règles EventBridge pour détecter et réagir aux événements d'Audit Manager tels que les notifications de changement d'état chaque fois qu'une évaluation est créée, modifiée ou supprimée. Vous pouvez également utiliser les règles EventBridge pour détecter les modifications apportées à un flux de travail de délégation ou à un statut de révision du contrôle des évaluations.

Amazon Bedrock est un service entièrement géré qui met à disposition les modèles de fondation (FM) d'Amazon et d'autres grandes sociétés d'IA via une API, ce qui vous permet d'ajuster en privé les grands modèles de langage (LLM) existants avec les données de votre organisation. AWS Audit Manager fournit un cadre de bonnes pratiques génératives en matière d'IA générative pour les clients Amazon Bedrock. Vous pouvez déployer ce cadre de bonnes pratiques via AWS Audit Manager dans les comptes sur lesquels vous exécutez vos modèles et applications d'IA générative, afin de recueillir des preuves qui vous aideront à contrôler la conformité aux politiques prévues.

Q : Comment fonctionne Audit Manager avec les partenaires AWS et les outils tiers ?
AWS Audit Manager s'est intégré à MetricStream, partenaire AWS et fournisseur de solutions de gouvernance, de gestion des risques et de conformité (GRC). Cette intégration vous permet d'importer des preuves de votre utilisation et de vos configurations d'AWS directement depuis Audit Manager dans votre MetricStream CyberGRC. Pour en savoir plus, consultez la documentation d'Audit Manager.