Concepts et terminologie du tableau de bord Éléments du tableau de bord Étapes suivantes Ressources supplémentaires

Utilisation du tableau de bord d’Audit Manager

Avec le tableau de bord d’Audit Manager, vous pouvez visualiser les éléments probants non conformes dans vos évaluations actives. C’est un moyen pratique et rapide de suivre vos évaluations, de rester informé et de résoudre les problèmes de manière proactive. Par défaut, le tableau de bord fournit une vue agrégée de haut en bas de toutes vos évaluations actives. Grâce à cette vue, vous pouvez identifier visuellement les problèmes liés à vos évaluations sans avoir à passer au crible de grandes quantités d’élément probants individuels.

Le tableau de bord est le premier écran que vous voyez lorsque vous vous connectez à la console Audit Manager. Il contient deux widgets qui affichent les données et les indicateurs de performance clés (KPI) les plus pertinents pour vous. À l’aide d’un filtre d’évaluation, vous pouvez affiner ces données afin de vous concentrer sur les KPI d’une évaluation spécifique. À partir de là, vous pouvez passer en revue les groupements de domaines de contrôle afin d’identifier les contrôles présentant le plus d’éléments probants non conformes. Vous pouvez ensuite explorer les contrôles sous-jacents pour examiner et résoudre les problèmes.

Note

Si vous utilisez Audit Manager pour la première fois ou si aucune évaluation n’est active, aucune donnée n’est affichée dans le tableau de bord. Pour commencer, créez une évaluation. Cette étape marque le début de la collecte continue d’éléments probants. Après une période de 24 heures, les données d’éléments probants agrégées commenceront à apparaître dans le tableau de bord. Vous pouvez lire les sections suivantes pour savoir comment comprendre et interpréter ces données.

Cette page couvre les rubriques suivantes :

Rubriques

Concepts et terminologie du tableau de bord
Éléments du tableau de bord
Étapes suivantes
Ressources supplémentaires

Concepts et terminologie du tableau de bord

Cette section couvre les informations importantes à connaître sur le tableau de bord d’Audit Manager avant de commencer à l’utiliser.

Autorisations et visibilité

Les responsables de l’audit et les délégués ont accès au tableau de bord. Cela signifie que ces deux personnes peuvent voir les statistiques et les agrégats de toutes les évaluations actives de votre. Compte AWS L’accès aux mêmes informations permet à toute votre équipe de se concentrer sur les mêmes KPI et objectifs.

Filtres

Audit Manager fournit un niveau de page Filtre d’évaluation que vous pouvez appliquer à tous les widgets de votre tableau de bord.

Éléments probants non conformes

Le tableau de bord met en évidence les contrôles de vos évaluations qui contiennent des éléments probants de vérification de conformité et une conclusion de non-conformité. Les preuves du contrôle de conformité concernent les contrôles qui utilisent AWS Config ou AWS Security Hub en tant que type de source de données. Pour ce type d’élément probant, Audit Manager rapporte le résultat d’un contrôle de conformité directement depuis ces services. Si Security Hub indique un résultat d’échec ou AWS Config un résultat non conforme, Audit Manager classe les éléments probants comme non conformes.

Éléments probants non concluants

Les éléments probants ne sont pas concluants si un contrôle de conformité n’est pas disponible ou applicable. Par conséquent, aucune évaluation de conformité ne peut être effectuée. C'est le cas si un contrôle utilise AWS Config ou AWS Security Hub comme type de source de données mais que vous n'avez pas activé ces services. C'est également le cas si le contrôle utilise un type de source de données qui ne prend pas en charge les contrôles de conformité, tels que les preuves manuelles, les appels d' AWS API ou AWS CloudTrail.

Si les éléments probants ont le statut de vérification de conformité non applicable dans la console, ils sont classés comme non concluants dans le tableau de bord.

Éléments probants conformes

Les éléments probants sont conformes si un contrôle de conformité n’a révélé aucun problème. C'est le cas si Security Hub indique un résultat satisfaisant ou AWS Config un résultat conforme.

Domaines de contrôle

Le tableau de bord introduit le concept de domaine de contrôle. Vous pouvez considérer un domaine de contrôle comme une catégorie générale de contrôles qui n’est pas spécifique à un framework en particulier. Les groupements de domaines de contrôle sont l’une des fonctionnalités les plus puissantes du tableau de bord. Audit Manager met en évidence les contrôles de vos évaluations qui contiennent des éléments probants non conformes et les regroupe par domaine de contrôle. L’utilisation de cette fonctionnalité vous permet de concentrer vos efforts de remédiation sur des domaines spécifiques lorsque vous vous préparez à un audit.

Note

Un domaine de contrôle est différent d’un ensemble de contrôles. Un ensemble de contrôles est un regroupement de contrôles spécifique à un framework qui est généralement défini par un organisme de réglementation. Par exemple, le framework PCI DSS possède un ensemble de contrôles nommé Exigence 8 : identifier et authentifier l’accès aux composants du système. Cet ensemble de contrôles relève du domaine de contrôle de la gestion des identités et des accès.

Cohérence éventuelle des données

Les données du tableau de bord sont finalement cohérentes. Cela signifie que lorsque vous lisez des données du tableau de bord, il se peut que celles-ci ne reflètent pas instantanément les résultats d’une opération d’écriture ou de mise à jour récemment terminée. Si vous revérifiez dans les heures qui suivent, le tableau de bord devrait refléter les données les plus récentes.

Données provenant d’évaluations supprimées et inactives

Le tableau de bord affiche les données des évaluations actives. Si vous supprimez une évaluation ou passez son statut à inactif le jour même où vous consultez le tableau de bord, les données de cette évaluation sont incluses comme suit.

Évaluations inactives : si l’Audit Manager a collecté des éléments probants pour votre évaluation avant que vous ne la rendiez inactive, ces éléments probants sont inclus dans le décompte du tableau de bord pour ce jour.
Évaluations supprimées : si l’Audit Manager a collecté des éléments probants pour votre évaluation avant que vous ne les supprimiez, ces éléments probants ne sont pas inclus dans le décompte du tableau de bord pour ce jour.

Éléments du tableau de bord

Les sections suivantes couvrent les différents composants du tableau de bord.

Rubriques

Filtre d’évaluation
Aperçu quotidien
Contrôles comportant des éléments probants non conformes regroupés par domaine de contrôle

Filtre d’évaluation

Vous pouvez utiliser le filtre d’évaluation pour vous concentrer sur une évaluation active spécifique.

Par défaut, le tableau de bord affiche des données agrégées pour toutes vos évaluations actives. Si vous souhaitez consulter les données d’une évaluation spécifique, vous devez appliquer un filtre d’évaluation. Il s’agit d’un filtre au niveau de la page qui s’applique à tous les widgets du tableau de bord.

Capture d’écran de la liste déroulante des filtres d’évaluation sur le tableau de bord d’Audit Manager.

Pour appliquer le filtre d’évaluation, sélectionnez une évaluation dans la liste déroulante en haut du tableau de bord. Cette liste affiche jusqu’à 10 de vos évaluations actives. Les évaluations les plus récentes apparaissent en premier. Si vous avez de nombreuses évaluations actives, vous pouvez commencer à saisir le nom d’une évaluation pour la retrouver rapidement. Une fois que vous avez sélectionné une évaluation, le tableau de bord affiche les données de cette évaluation uniquement.

Aperçu quotidien

Ce widget affiche un aperçu de l’état de conformité actuel de vos évaluations actives.

L’aperçu quotidien reflète les dernières données collectées à la date indiquée en haut du tableau de bord. Les dates et heures affichées sur le tableau de bord sont exprimées en heure UTC (temps universel coordonné). Il importe de comprendre que ces chiffres sont des dénombrements quotidiens basés sur cet horodatage. Il ne s’agit pas d’une somme totale à ce jour.

Par défaut, l’aperçu quotidien affiche les données suivantes pour toutes vos évaluations actives :

Contrôles comportant des éléments probants non conformes : nombre total de contrôles associés à des éléments probants non conformes.
Preuves non conformes - Le nombre total de preuves de contrôle de conformité aboutissant à une conclusion non conforme.
Évaluations actives : nombre total de vos évaluations actives. Choisissez ce numéro pour voir les liens vers ces évaluations.

Capture d’écran du widget de l’aperçu quotidien sur le tableau de bord d’Audit Manager.

Les données instantanées quotidiennes changent en fonction de Filtre d’évaluation ce que vous appliquez. Lorsque vous spécifiez une évaluation, les données reflètent les chiffres quotidiens pour cette évaluation uniquement. Dans ce cas, l’instantané quotidien indique le nom de l’évaluation que vous avez spécifiée. Vous pouvez choisir le nom de l’évaluation pour l’ouvrir.

Capture d’écran du widget de l’aperçu quotidien lorsqu’un filtre d’évaluation est appliqué.

Contrôles comportant des éléments probants non conformes regroupés par domaine de contrôle

Vous pouvez utiliser ce widget pour identifier les contrôles présentant le plus d’éléments probants non conformes.

Par défaut, le widget affiche les données suivantes pour toutes vos évaluations actives :

Domaine de contrôle : liste control domains des domaines associés à vos évaluations actives.
Répartition des éléments probants — Un graphique à barres qui montre une ventilation de l’état de conformité des éléments probants.

Capture d'écran des contrôles contenant des preuves non conformes groupées par domaine.

Pour développer un domaine de contrôle, choisissez la flèche à côté de son nom. Lorsqu’elle est étendue, la console affiche jusqu’à 10 commandes pour chaque domaine. Ces contrôles sont classés en fonction du nombre total le plus élevé d’éléments probants non conformes.

Les données de ce widget changent en fonction de celles Filtre d’évaluation que vous appliquez. Lorsque vous spécifiez une évaluation, vous ne voyez que les données de cette évaluation. En outre, vous pouvez également télécharger un fichier CSV pour chaque domaine de contrôle disponible dans l'évaluation.

Capture d'écran qui montre l'option de téléchargement CSV pour un domaine de contrôle.

Le fichier .csv inclut la liste complète des contrôles du domaine qui sont associés à des éléments probants non conformes. L'exemple suivant montre les colonnes de données CSV avec des valeurs fictives.

Capture d’écran d’un exemple de fichier .csv présentant une liste de contrôles contenant des éléments probants non conformes.

Enfin, lorsque vous appliquez un filtre d’évaluation, les noms de contrôle sous chaque domaine sont associés à des liens hypertextes. Choisissez n’importe quel contrôle pour ouvrir la page des détails du contrôle dans l’évaluation spécifiée.

Capture d'écran des contrôles contenant des preuves non conformes groupées par domaine et filtrées par évaluation.

Astuce

En utilisant la page des détails du contrôle comme point de départ, vous pouvez passer d’un niveau de détail à l’autre.

Page de détails du contrôle - Sur cette page, les Onglet Dossiers d’éléments probants dossiers quotidiens de preuves collectés par Audit Manager pour ce contrôle sont répertoriés. Pour plus de détails, choisissez un dossier.
Dossier de preuves - Ensuite, vous pouvez consulter une Résumé du dossier d’éléments probants et une liste des preuves contenues dans ce dossier. Pour obtenir plus de détails, sélectionnez un élément probant individuel.
Élément probant individuel - Enfin, vous pouvez explorer les détails des éléments probants individuels. Il s’agit du niveau d’élément probant le plus granulaire.

Étapes suivantes

Voici les prochaines étapes que vous pouvez suivre après avoir consulté le tableau de bord.

Téléchargez un fichier CSV : recherchez le domaine d'évaluation et de contrôle sur lequel vous souhaitez vous concentrer, et téléchargez la liste complète des contrôles associés comportant des preuves de non-conformité.
Révision d’un contrôle : une fois que vous avez identifié un contrôle nécessitant une correction, vous pouvez le réviser.
Déléguer un contrôle pour révision : si vous avez besoin d’aide pour réviser un contrôle, vous pouvez déléguer un ensemble de contrôles pour révision.
Modifier votre évaluation : si vous souhaitez modifier le champ d’application d’une évaluation active, vous pouvez modifier l’évaluation.
Mettre à jour le statut de votre évaluation — Si vous souhaitez arrêter de recueillir des preuves pour une évaluation, vous pouvez faire passer le statut de l'évaluation à inactif.

Ressources supplémentaires

Pour trouver des réponses aux questions et problèmes courants, consultez Résolution des problèmes liés au tableau de bord la section Dépannage de ce guide.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Tutoriel pour les délégués : Vérification d’un ensemble de contrôles

Évaluations