Audit Manager fournit actuellement des cadres prédéfinis permettant de mapper les contrôles informatiques (une procédure ou une politique qui permet de vérifier qu’une exigence est respectée) aux sources de données, ce qui réduit la charge liée à la compréhension des détails techniques de l’utilisation d’AWS. Ces cadres permettent de faire correspondre vos ressources AWS aux exigences des normes et réglementations sectorielles. Parmi les cadres prédéfinis d’AWS Audit Manager, citons la norme PCI DSS (Payment Card Industry Data Security Standard) v4.0, la norme Systems and Organization Controls 2 (SOC 2), NIST 800-53 (Rev 5) Low-Moderate-High, la règle de sécurité omnibus finale 2013 de la loi HIPAA (Health Insurance Portability and Accountability Act), CIS Benchmark for CIS Amazon Web Services Foundations Benchmark v1.2.0 et v1.3.0, CIS Controls v7.1, Implementation Group 1, FedRAMA P Moderate Baseline, le Règlement général sur la protection des données (RGPD) et le GxP 21 CFR part 11. Reportez-vous à la liste exhaustive des cadres pris en charge dans la documentation d’AWS Audit Manager.
AWS Audit Manager permet de personnaliser des cadres prédéfinis existants ou de créer des contrôles personnalisés et des cadres personnalisés à partir de zéro. Vous pouvez définir des contrôles personnalisés pour collecter des preuves à partir des contrôles communs gérés par AWS ou de sources de données spécifiques afin de démontrer que vous respectez les exigences en matière d’audit interne et de conformité.
AWS Audit Manager propose une bibliothèque de contrôles courants qui vous aide à naviguer rapidement dans la réplication de vos propres contrôles d’entreprise, sans avoir à mapper chaque contrôle d’entreprise au niveau de la source de données AWS. Toutes les sources de données AWS pertinentes à des fins de preuve (appels d’API, événements CloudTrail, règles AWS Config, vérifications du Security Hub) sont mappées à ces contrôles. Ces mappages sont mis à jour automatiquement. Par exemple, si une nouvelle règle AWS Config est lancée, cette règle sera ajoutée aux contrôles communs pertinents. Par conséquent, les mappages de preuves par rapport à un contrôle commun fournissent le dernier ensemble de preuves automatisées disponibles sur AWS, sans que vous ayez à gérer ou mettre à jour les mappages manuellement.
Une fois l’évaluation définie et lancée, AWS Audit Manager collecte automatiquement les données des comptes AWS que vous avez définis comme faisant partie du champ d’application de votre audit. Les preuves contiennent à la fois les données capturées à partir de la ressource, ainsi que des métadonnées qui indiquent le contrôle que les données prennent en charge pour permettre de démontrer la conformité de sécurité, de gestion des modification, de la continuité de l’activité et la conformité des licences des logiciels. Audit Manager collecte et organise les preuves provenant d'AWS CloudTrail et des autres services AWS que vous pourriez utiliser, tels qu'AWS Config, AWS Security Hub et AWS License Manager. Vous pouvez également charger manuellement d'autres preuves, telles que des documents de politique, des transcriptions de formation et des schémas d'architecture, pour rester organisé.
AWS Audit Manager prend en charge plusieurs comptes grâce à l'intégration à AWS Organizations. Les évaluations Audit Manager peuvent s'exécuter sur plusieurs comptes et collecteront et consolideront les preuves dans un compte d'administrateur délégué dans AWS Organizations.
Vous pouvez déléguer les ensembles de contrôles à des membres de l'équipe qui sont spécialisés dans certains domaines, tels que l'infrastructure réseau, la gestion des identités, les licences de logiciels ou les politiques du personnel. La fonction de délégation permet aux membres de l'équipe du support d'examiner l'ensemble des contrôles et les preuves associées, d'ajouter des commentaires, de charger des preuves supplémentaires et de mettre à jour le statut de chaque contrôle.
AWS Audit Manager vous permet de passer plus facilement au crible des milliers d’éléments de preuve collectés à partir de sources multiples, en utilisant des filtres de recherche et des regroupements pour identifier les tendances et les problèmes de recoupement. Cela vous aidera à approfondir les problèmes identifiés par les contrôles de conformité signalés dans le service, soit dans les évaluations - un processus automatisé de collecte de données par rapport à un ensemble spécifique de contrôles - soit sur le tableau de bord d’AWS Audit Manager. Pour commencer à rechercher vos preuves, allez dans le menu de navigation de gauche de la console AWS Audit Manager et sélectionnez la page « Evidence Finder », choisissez l’évaluation et la période que vous souhaitez rechercher, puis sélectionnez les paramètres et les filtres de votre recherche. Vous pouvez également exporter les preuves issues des résultats de votre recherche sous la forme d’un fichier de valeurs séparées par des virgules (CSV). L’activation de cette fonctionnalité déclenche l’ingestion et le stockage des preuves d’AWS Audit Manager dans AWS CloudTrail Lake. La tarification de CloudTrail Lake s’applique.
AWS Audit Manager automatise la collecte et l'organisation des preuves comme défini par le contrôle spécifié dans le cadre que vous avez sélectionné. Vous et votre équipe pouvez examiner les preuves, les commenter les preuves, charger d'autres preuves et mettre à jour le statut de chaque contrôle. Vous sélectionnez ensuite les preuves pertinentes à inclure dans votre rapport d'évaluation et produisez un rapport d'évaluation final à partager avec les auditeurs. Le rapport d'évaluation final contient un dossier récapitulatif de votre évaluation et fournit des liens vers un ensemble organisé de dossiers contenant des preuves connexes, qui sont nommés et organisés comme défini par l'ensemble de contrôles dans framework. Le rapport d'évaluation Audit Manager utilise une vérification cryptographique pour garantir son intégrité.
AWS Audit Manager fournit des fonctionnalités qui aident à réduire les efforts manuels liés à l'évaluation des risques par des tiers. La fonctionnalité de partage de cadres, qui vous permet de partager des cadres personnalisés avec vos fournisseurs conformément aux exigences de conformité de votre organisation, en est un exemple. Les fournisseurs peuvent ensuite accéder à ces cadres personnalisés et les utiliser pour créer des évaluations. Dans Audit Manager, une évaluation est utilisée pour collecter des preuves pour les contrôles dans le cadre de votre audit. En utilisant le cadre partagé comme point de départ, les fournisseurs peuvent créer une évaluation qui recueille des preuves pour les contrôles de ce cadre.
En outre, vous pouvez créer des questions d'évaluation des risques liés aux fournisseurs et les partager avec vos fournisseurs et partenaires afin de recueillir des preuves d'audit par le biais de réponses textuelles ou de documentation. Ces tiers peuvent ensuite regrouper leurs réponses, ainsi que tous les fichiers téléchargés et les preuves automatisées collectées, dans un rapport d'évaluation et les partager avec vous.
Les fournisseurs peuvent également exporter toutes les preuves automatisées collectées dans leurs comptes AWS sous la forme d'un fichier CSV dans l'outil de recherche de preuves, ce qui leur permet de partager plus facilement les preuves avec vous dans un format largement pris en charge.