Présentation du Gestionnaire d'audits

Audit Manager est une solution d'audit de conformité qui vous aide à simplifier votre processus d'audit de conformité sur Google Cloud. Audit Manager vous permet d'effectuer des audits sur des frameworks intégrés et personnalisés que vous définissez à l'aide des frameworks Compliance Manager ou Assured Workloads (aperçu).

Audit Manager offre les fonctionnalités suivantes :

  • Une matrice des responsabilités partagées qui montre la séparation des tâches et des recommandations pour gérer vos responsabilités.
  • Documents de conformité pour Google Cloud
  • Évaluations de conformité automatisées pour évaluer les contrôles de conformité sur les charges de travail et comprendre leur état de conformité.
  • Collectez des preuves pour les audits de conformité.
  • Identifier les lacunes pour corriger les cas de non-conformité générés.

Audit Manager peut fournir des évaluations pour n'importe quel projet ou dossier Google Cloud .

Frameworks compatibles

Audit Manager peut évaluer vos ressources par rapport aux contrôles cloud et aux contrôles des frameworks intégrés suivants :

Si vous souscrivez des abonnements Security Command Center Premium ou Enterprise ou activez Assured Workloads, les éléments suivants s'appliquent :

Migrer depuis d'anciens frameworks

Si vous avez effectué un audit avant le 30 juin 2026, vous avez utilisé des frameworks différents. Ces frameworks ne sont plus disponibles pour exécuter des audits. Le tableau suivant mappe les anciens frameworks aux frameworks que vous pouvez déployer à l'aide de Compliance Manager ou des frameworks Assured Workloads (aperçu).

Ancien framework Framework Audit Manager équivalent Framework Compliance Manager équivalent (Aperçu) Cadre de frameworks Assured Workloads équivalents
NIST 800-53 (révision 4) NIST 800-53 (révision 5) NIST 800-53 (révision 5)
Contrôles d'IA recommandés par Google [1] [1]
SOC2 2017 SOC2 2017 SOC2 2017 SOC2 2017
CIS Controls v8 CIS Critical Security Controls v8 CIS Critical Security Controls v8
PCI DSS 4.0 PCI DSS v4.0.1 PCI DSS v4.0.1
Cloud Controls Matrix 4.0 CSA Cloud Controls Matrix v4.0.11 CSA Cloud Controls Matrix v4.0.11
NIST CSF v1 NIST Cybersecurity Framework 1.1 NIST Cybersecurity Framework 1.1
Benchmark CIS Google Cloud Foundation 2.0 Benchmark CIS GCP Foundations v3.0 Benchmark CIS GCP Foundations v3.0
ISO 27001 2022 ISO 27001:2022 ISO 27001:2022

Si vous avez exécuté des audits à l'aide des anciens frameworks, vous pouvez continuer à afficher les rapports d'audit sur la page Afficher les évaluations et dans les buckets Cloud Storage où vous avez stocké les rapports.

1 Les frameworks Compliance Manager et Assured Workloads (version Preview) incluent le framework intégré Principes essentiels de l'IA recommandés par Google - Gemini Enterprise Agent Platform. Vous pouvez utiliser ce framework au lieu de l'ancien framework de contrôles d'IA recommandé par Google, bien qu'il utilise des contrôles différents pour évaluer votre environnement.

Frameworks personnalisés

Avant le 30 juin 2026, Audit Manager incluait une fonctionnalité d'aperçu qui vous permettait de créer des frameworks personnalisés. Si vous avez créé un framework personnalisé à l'aide de cette fonctionnalité d'aperçu, vous pouvez continuer à exécuter des audits sur le framework personnalisé et à afficher les rapports que vous avez créés. Toutefois, vous ne pouvez pas afficher ni modifier votre framework personnalisé.

Si aucun des frameworks intégrés d'Audit Manager ne s'applique à votre environnement, vous pouvez utiliser les options suivantes :

Contrôles et contrôles cloud

Audit Manager inclut des contrôles et des contrôles cloud dans ses frameworks. Tenez compte des points suivants :

  • Les contrôles sont des objectifs généraux qui vous permettent d'évaluer la protection des ressources, l'atténuation des risques et les objectifs réglementaires de l'entreprise. Les contrôles peuvent être composés de contrôles cloud techniques et non techniques.

  • Les contrôles cloud sont des contrôles définis par logiciel qui vérifient des configurations spécifiques dans votre environnement Google Cloud . La plupart des contrôles cloud sont techniques. Par exemple, un contrôle est une exigence réglementaire permettant d'auditer votre environnement, et un contrôle cloud est le mécanisme spécifique permettant de s'assurer que Cloud Audit Logs sont activés pour différentes API.

  • Les frameworks sont des ensembles de contrôles et de contrôles cloud qui vous aident à respecter une norme réglementaire spécifique. Par exemple, Audit Manager inclut un framework pour la norme ISO 27001:2022. Les contrôles cloud et les contrôles techniques incluent une ou plusieurs règles qu'Audit Manager peut vérifier lors d'un audit et pour lesquelles il peut collecter des preuves.

Comment les contrôles et les contrôles cloud sont-ils audités ?

La façon dont Audit Manager audite un contrôle ou un contrôle cloud dépend de sa capacité technique à évaluer le contrôle ou le contrôle cloud. Tenez compte des points suivants :

  • Certains contrôles ou contrôles cloud nécessitent des examens manuels, car Audit Manager ne peut pas effectuer d'appels d'API pour les valider. Par exemple, un contrôle peut vous demander d'examiner les systèmes d'accès qui ne se trouvent pas dansGoogle Cloud. Si un contrôle ou un contrôle cloud nécessite un examen manuel, Audit Manager crée une observation qui vous indique que vous devez effectuer l'examen vous-même. Des preuves techniques peuvent être générées. L'état du contrôle ou du contrôle cloud est Facultatif : Examen manuel requis.

  • Certains contrôles ou contrôles cloud s'appliquent directement à une valeur spécifique dansGoogle Cloud. Par exemple, un contrôle cloud peut exiger que vous activiez CMEK pour les buckets Cloud Storage. Dans ce scénario, Audit Manager peut effectuer un appel d'API pour vérifier un paramètre spécifique. La valeur renvoyée est la preuve. Audit Manager peut ensuite évaluer si les preuves respectent ou non les règles attendues. Audit Manager crée une observation qui inclut les preuves et l'évaluation. L'état d'un contrôle ou d'un contrôle cloud peut être l'un des suivants :

    • Si Audit Manager évalue que la preuve respecte la règle, l'état du contrôle ou du contrôle cloud est Conforme.

    • Si Audit Manager évalue la preuve comme ne respectant pas la règle, l'état du contrôle ou du contrôle cloud est Échec. Pour les contrôles ou les contrôles cloud qui incluent plusieurs règles, si l'une d'elles échoue, l'état est Violation.

    • Si Audit Manager rencontre une erreur de quelque type que ce soit au cours de ce processus (par exemple, un appel d'API a expiré), l'état du contrôle ou du contrôle cloud est défini sur Ignoré.

Workflow Audit Manager

Le workflow général du Gestionnaire d'audits consiste à configurer l'accès au Gestionnaire d'audits et à gérer les audits.

  1. Pour configurer l'accès au Gestionnaire d'audits, vous devez être administrateur du Gestionnaire d'audits (roles/auditmanager.admin) et enregistrer les ressources à auditer.
  2. Pour gérer les audits, vous pouvez être administrateur ou auditeur, et effectuer les actions suivantes :
    1. Effectuer des audits.
    2. Obtenez l'état de l'audit.
    3. Afficher des rapports Audit Manager détaillés.

Étapes suivantes