Fonctions d'AWS Audit Manager 

AWS Audit Manager vous aide à auditer en continu votre utilisation d'AWS pour simplifier vos évaluations de risques et de conformité avec les règlementations et les normes de sectorielles. Audit Manager permet de déterminer plus facilement si vos politiques, procédures et activités, également appelées contrôles, fonctionnent efficacement. Audit Manager fournit des frameworks prédéfinis avec des contrôles qui sont associés aux normes et réglementations sectorielles courantes, la personnalisation complète des frameworks et des contrôles, ainsi que la collecte et l'organisation automatisées des preuves de votre utilisation d'AWS comme défini par chaque exigence de contrôle. Au moment d'un audit, AWS Audit Manager vous permet de gérer les vérifications des parties prenantes de vos contrôles, et d'établir des rapports prêts pour l'audit en réduisant considérablement les tâches. 

AWS Audit Manager propose des frameworks prédéfinis qui couvrent une série de normes de conformité, et ils sont développés en tenant compte des bonnes pratiques d'AWS. Ces cadres permettent de faire correspondre vos ressources AWS aux exigences des normes et réglementations sectorielles. Les cadres prédéfinis dans AWS Audit Manager comprennent AWS Control Tower, AWS License Manager, CIS AWS Foundations Benchmark 1.2.0 et 1.3.0, l'implémentation CIS Controls v7.1 groupe 1, FedRAMP Moderate, le règlement général sur la protection des données (RGPD), GxP 21 CFR partie 11, la loi HIPAA (Health Insurance Portability and Accountability Act), la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) v3.2.1, Service Organization Control 2 (SOC 2) et NIST 800-53 (Rev 5). AWS Audit Manager fournit également un cadre prédéfini pour vous aider à mieux comprendre comment votre implémentation de l'IA générative sur Amazon Bedrock va à l'encontre des meilleures pratiques recommandées par AWS. Reportez-vous à la liste exhaustive des cadres pris en charge dans la documentation d'AWS Audit Manager.

AWS Audit Manager vous permet de créer votre propre framework en utilisant soit des contrôles personnalisés, soit des contrôles gérés par AWS qui vous aident à répondre à vos exigences d'audit. La personnalisation d'un framework Audit Manager vous permet d'évaluer les contrôles dans votre framework existant pour la conformité avec les exigences de votre entreprise. Vous pouvez définir des contrôles personnalisés pour recueillir des preuves à partir de sources de données spécifiques, afin de montrer que vous respectez les exigences en matière d'audit interne et de conformité. Chaque élément de preuve devient un dossier contenant les informations dont vous avez besoin pour démontrer la conformité aux exigences spécifiées par un contrôle.

Une fois qu'une évaluation a été définie et lancée, AWS Audit Manager collecte automatiquement des données du compte AWS et les services que vous avez définis comme devant faire l'objet d'un audit. Les preuves contiennent à la fois les données capturées à partir de la ressource, ainsi que des métadonnées qui indiquent le contrôle que les données prennent en charge pour permettre de démontrer la conformité de sécurité, de gestion des modification, de la continuité de l'activité et la conformité des licences des logiciels. Audit Manager collecte et organise les preuves provenant d'AWS CloudTrail et des autres services AWS que vous pourriez utiliser, tels qu'AWS Config, AWS Security Hub et AWS License Manager. Vous pouvez également charger manuellement d'autres preuves, telles que des documents de politique, des transcriptions de formation et des schémas d'architecture, pour rester organisé.

AWS Audit Manager prend en charge plusieurs comptes grâce à l'intégration à AWS Organizations. Les évaluations Audit Manager peuvent s'exécuter sur plusieurs comptes et collecteront et consolideront les preuves dans un compte d'administrateur délégué dans AWS Organizations.

Vous pouvez déléguer les ensembles de contrôles à des membres de l'équipe qui sont spécialisés dans certains domaines, tels que l'infrastructure réseau, la gestion des identités, les licences de logiciels ou les politiques du personnel. La fonction de délégation permet aux membres de l'équipe du support d'examiner l'ensemble des contrôles et les preuves associées, d'ajouter des commentaires, de charger des preuves supplémentaires et de mettre à jour le statut de chaque contrôle.

Audit Manager vous permet de trier en toute facilité des milliers de preuves issues de plusieurs sources différentes grâce aux filtres et aux regroupements de recherche, qui permettent d'identifier des tendances tout en comparant les problèmes. Cela vous aidera à approfondir les problèmes identifiés par l'intermédiaire des contrôles de conformité signalés dans le service, soit via les évaluations (processus de collecte de données automatisé par rapport à un ensemble spécifique de contrôles), soit via le tableau de bord d'Audit Manager. Pour commencer à effectuer une recherche au sein de vos preuves, accédez au menu de navigation, à gauche de la console d'Audit Manager, puis sélectionnez la page Evidence Finder. Choisissez l'évaluation et la plage de temps à examiner, puis sélectionnez les paramètres et les filtres à appliquer à votre recherche. En activant cette fonctionnalité, vous déclenchez l'ingestion et le stockage de preuves Audit Manager dans AWS CloudTrail Lake. La tarification de CloudTrail Lake s'applique.

AWS Audit Manager automatise la collecte et l'organisation des preuves comme défini par le contrôle spécifié dans le cadre que vous avez sélectionné. Vous et votre équipe pouvez examiner les preuves, les commenter les preuves, charger d'autres preuves et mettre à jour le statut de chaque contrôle. Vous sélectionnez ensuite les preuves pertinentes à inclure dans votre rapport d'évaluation et produisez un rapport d'évaluation final à partager avec les auditeurs. Le rapport d'évaluation final contient un dossier récapitulatif de votre évaluation et fournit des liens vers un ensemble organisé de dossiers contenant des preuves connexes, qui sont nommés et organisés comme défini par l'ensemble de contrôles dans framework. Le rapport d'évaluation Audit Manager utilise une vérification cryptographique pour garantir son intégrité.

AWS Audit Manager fournit des fonctionnalités qui aident à réduire les efforts manuels liés à l'évaluation des risques par des tiers. La fonctionnalité de partage de cadres, qui vous permet de partager des cadres personnalisés avec vos fournisseurs conformément aux exigences de conformité de votre organisation, en est un exemple. Les fournisseurs peuvent ensuite accéder à ces cadres personnalisés et les utiliser pour créer des évaluations. Dans Audit Manager, une évaluation est utilisée pour collecter des preuves pour les contrôles dans le cadre de votre audit. En utilisant le cadre partagé comme point de départ, les fournisseurs peuvent créer une évaluation qui recueille des preuves pour les contrôles de ce cadre.

En outre, vous pouvez créer des questions d'évaluation des risques liés aux fournisseurs et les partager avec vos fournisseurs et partenaires afin de recueillir des preuves d'audit par le biais de réponses textuelles ou de documentation. Ces tiers peuvent ensuite regrouper leurs réponses, ainsi que tous les fichiers téléchargés et les preuves automatisées collectées, dans un rapport d'évaluation et les partager avec vous.

Les fournisseurs peuvent également exporter toutes les preuves automatisées collectées dans leurs comptes AWS sous la forme d'un fichier CSV dans l'outil de recherche de preuves, ce qui leur permet de partager plus facilement les preuves avec vous dans un format largement pris en charge.