Stephan Hadinger (AWS France) : “Un client optant pour un stockage en France a l’assurance que ses données y restent bien”

Quelle est la stratégie d’AWS France en matière de santé ?

Pour accompagner nos clients sur le marché français, nous avons créé AWS France en 2011. Je suis arrivé en 2012 dans cette équipe. Depuis, nous n’avons pas cessé d’investir, à la fois dans des ressources humaines – des gestionnaires de comptes, des architectes de solutions… qui sont autant d’experts techniques – et dans de l’infrastructure. En 2017, nous avons implanté des data centers en France, en démarrant par trois data centers en région parisienne. Nous comptons des dizaines de milliers de clients dans l’Hexagone mais nous ne faisons pas de différence entre les secteurs d’activité. Dans le domaine de la santé, nous avons obtenu de l’Agence des systèmes d’information partagés de santé (Asip santé) la certification HDS (hébergeur de données de santé) en janvier 2019. Il y avait une très, très forte demande de nos clients, quelle que soit leur taille. La sécurité constitue un point primordial pour eux comme pour nous.

Pouvez-vous citer quelques-uns de ces clients ?

Cela commence bien sûr par “les grands” du marché : GE Healthcare, Philips Healthcare, Air Liquide Healthcare. GE Healthcare par exemple se déployait un peu partout mais avait des difficultés en France du fait des règles de cette dernière, qui constituaient un obstacle à l’utilisation du cloud. Depuis janvier, c’est fini. Nous comptons également un certain nombre de start-up dans le domaine ultra actif qu’est celui de la santé.

Au total, combien de clients bénéficient de votre activité d’hébergement de données de santé ?

Nous ne le savons pas parce qu’aucune déclaration n’est nécessaire. Toutes nos infrastructures sont certifiées HDS (AWS a obtenu cette certification pour la “Région AWS Paris”, soit ses trois zones de disponibilité, ndlr), notre offre est ainsi nativement HDS, et un client qui en a besoin pour son activité l’utilise directement sans avoir besoin de nous déclarer. C’est ce que l’on retrouve dans le monde bancaire, du jeu ou autre. Par construction, nous ne savons pas ce que font nos clients ; ils consomment du service, comme lorsque vous utilisez votre téléphone. Le seul moyen pour nous de savoir ce que font nos clients, c’est lorsqu’ils nous le disent.

Ce type précis de service ne peut être contractualisé ?

Non, c’est la même contractualisation qu’il s’agisse du jeu pour faire Fornite, de la banque comme la Société Générale ou de la santé comme Incepto. Il s’agit du même contrat.

Outre la certification HDS, quels services proposez-vous en matière de santé ?

La santé est un domaine dans lequel nous voyons l’objectif à long terme à travers nos clients : comment améliorer l’état des patients ? Nous travaillons ainsi avec la recherche médicale, notamment en génomique. Je citerais Illumina, leader mondial du séquençage ADN qui est depuis très longtemps un partenaire AWS et permet à tout un écosystème de start-up de créer des algorithmes pour analyser l’ADN séquencé. Pour aider les chercheurs, nous mettons également gratuitement à disposition des “public data sets” : des jeux de données généralement académiques ou universitaires, que nous hébergeons et qui peuvent être intégrés en continu dans les applications basées sur le cloud d’AWS. Nous en avons des dizaines et des dizaines, dans le monde des statistiques, du recensement… Y figurent aussi des données issues de Wikipédia, des données de séquençage d’ADN, des données météorologiques qui proviennent de Météo France…

Autre exemple : Novartis a conçu une plateforme exploitant AWS permettant de réaliser du screening sur les molécules contre le cancer. Ces modèles mathématiques très consommateurs sont utilisés par ailleurs par le centre de recherche nucléaire en Grande-Bretagne pour le calcul des dosages en radiothérapie. Ce qui prenait plusieurs minutes à plusieurs heures prend désormais quelques secondes. C’est un gain pour les médecins, pour les chercheurs. Notre but est de lever tous les freins technologiques pour que la recherche puisse se concentrer sur l’amélioration de la vie des patients.

Nous collaborons également avec des start-up, comme Incepto (basée sur le cloud de AWS, ndlr). Elle analyse des images de radiographie pour effectuer de la prédétection. L’idée est à chaque fois de gagner du temps sur des tâches qui sont je ne vais pas dire à faible valeur ajoutée mais qui n’utilisent pas eu mieux le temps d’un expert. Nous travaillons aussi avec la start-up SkinVision qui propose une application mobile permettant de prévenir le mélanome, à partir de la photo d’un grain de beauté. En cas de suspicion, le patient est guidé dans le parcours de soins : qui contacter, comment. Et la détection du mélanome s’en trouve accélérée.

Intégrez-vous l’intelligence artificielle dans vos solutions ?

Nous proposons 18 algorithmes d’apprentissage automatique prémâchés, de l’analyse d’image ou de texte à de la prédiction sur des ventes par exemple, sur une marketplace baptisée SageMaker. Cette boîte à outils constitue pour nous un très, très gros accélérateur de projets. Les utilisateurs ne paient que les capacités de calcul et de stockage qu’ils utilisent pour leurs propres applications. Si le service tourne pendant 34 minutes et 14 secondes, le client paiera 34 minutes et 14 secondes multiplié par le nombre de machines et multiplié par la taille de la machine.

SageMaker a-t-elle été utilisée pour des applications en santé ?

Plus de 10 000 clients utilisent SageMaker dans divers domaines. GE Healthcare a annoncé en novembre dernier qu’ils avaient migré la totalité de leur projet d’intelligence artificielle sur SageMaker. Mais il s’agit d’un outil neutre. Cela dit, il peut être décliné à la demande dans un domaine précis. Nous avons par exemple sorti une version spécifique de notre module d’analyse de sentiment, adaptée au monde de la santé : Amazon Comprehend Medical, pour l’instant uniquement en anglais. Il détecte dans des e-mails si des médicaments ou une maladie est évoquée. C’est le même service que Amazon Comprehend mais enrichi avec une terminologie propre à la santé.

Dans le domaine de la santé, AWS France travaille-t-il avec les autres entités du groupe Amazon ?

Il existe des interactions comme avec tous nos clients, c’est-à-dire que Amazon.com, le site de e-commerce, est un client d’AWS. Tout comme la partie Alexa est aussi un client d’AWS et utilise ses infrastructures. Les relations se limitent à cela. Nous avons aussi une culture commune mais c’est une autre histoire. J’insiste bien : AWS est une entité juridiquement séparée, ce qui signifie que le site de e-commerce Amazon.fr dispose et utilise exactement les même services d’AWS que les start-up et que n’importe quel client.

Quels sont les effectifs d’AWS France ?

Nous ne donnons pas ces chiffres. Je peux seulement vous dire que nous sommes basés à La Défense, sur deux étages d’un immeuble, et que chaque étage peut accueillir un maximum de 135 personnes. Nous sommes en train de nous installer sur deux étages supplémentaires, ce qui vous donne un ordre de grandeur.

Pourquoi avoir implanté trois data centers ?

Trois est un minimum. Lorsqu’une infrastructure est conçue, elle nécessite des zones de disponibilité. Il en existe donc trois et chaque zone de disponibilité compte au moins un data center mais il peut y en avoir plusieurs avec la croissance. Il s’agit de se prémunir contre les coupures et les désastres (inondation, tremblement de terre…) ; à chaque zone, un profil de risque différent ce qui implique des arrivées électriques différentes, sur des grilles électriques différentes… L’idée n’est pas de réduire le risque à zéro mais que les risques soient différents. On ne peut pas garantir qu’un data center ne sera jamais indisponible ; nous pouvons presque affirmer le contraire ! Nous avons donc choisi de faire en sorte que si un data center complet devient indisponible, l’utilisateur final ne s’en rende même pas compte. C’est typiquement ce que fait de manière virtuelle Netflix : régulièrement, à peu près tous les mois, Netflix ferme virtuellement un data center pour s’assurer que le système est capable de reprendre.

AWS effectue aussi ce type d’exercice ?

Nous, nous n’éteignons pas réellement le data center. Mais Amazon.com le fait et nous incitons nos clients à effectuer ce genre de test. Ces exercices nécessitent une certaine maturité, un outillage, mais ils constituent un objectif pour avoir de la haute disponibilité et faire en sorte que les applications continuent à fonctionner même en cas de ce que l’on appelle habituellement dans l’informatique un désastre. Le modèle classique repose sur un data center primaire et un deuxième, de secours. La bascule peut prendre du temps, souvent elle ne fonctionne pas très bien. D’où notre approche, reposant sur trois data centers primaires. Aujourd’hui, il n’existe plus de week-end, de jour, de nuit. Les applications fonctionnent en permanence et, lorsqu’une nouvelle version est mise en place, il n’est pas question de la fermer pendant deux heures.

Tous les clients d’AWS France hébergent leurs données sur les data centers français ?

C’est au choix, lorsque vous arrivez sur la console. C’est même la première décision que vous prenez. Cela peut être en Europe, en France, à Francfort ou à Dublin, en Amérique du Nord, en Amérique du Sud, en Asie-Pacifique, en Inde… Et c’est ce que beaucoup de start-up recherchent : cette option leur permet de se déployer facilement à l’international. Je n’ai pas encore d’exemples dans la santé mais quand une société de e-commerce comme Millesima, un négociant en vins ouvert dans 16 pays dont la France, a ouvert le Brésil, elle l’a fait en quatre heures. Elle n’a pas eu besoin de signer un contrat avec un hébergeur local. Nous disposons d’infrastructures à São Paulo.

La localisation des données relève du choix du client et nous lui assurons que ses données resteront confinées dans le pays choisi. Nous l’indiquons dans nos contrats. Si le client souhaite que ce soit en France, il a l’assurance que les données restent bien en France.

Portez-vous des initiatives en tant qu’incubateur ou accélérateur de start-up ?

Nous avons lancé un programme pour aider les start-up, qui s’appelle Activate. Il propose à la fois du mentoring, de l’accès à des ressources techniques, mais également des crédits puisque l’idée est que le coût de la technologie soit indolore pour les start-up qui démarrent. Le cloud est en soi très adapté aux start-up puisqu’elles n’ont pas besoin d’investir, d’acheter des serveurs ou autre. Elles démarrent instantanément et ne paient que ce que qu’elles consomment. Mais nous avons voulu aller plus loin, en les soutenant : la première année, elles bénéficient d’un accès gratuit ou quasi gratuit à l’infrastructure pour développer leur activité. Des milliers de start-up sont inscrites dans ce programme. Nous avons aussi des partenaires pour les accompagner : plus de 3 000 accélérateurs, incubateurs, fonds de capital-risque et autres organisations du monde entier pour aider les start-up à construire, lancer et mettre à l’échelle.

C’est d’ailleurs pour les aider à être reconnues que nous sommes ravis d’en accueillir un certain nombre sur nos événements, comme le AWS Summit Paris ou notre événement mondial à Las Vegas, re:Invent, sur lequel des start-up françaises viennent démontrer leur savoir-faire.

Enfin, comment gérez-vous les questions de stockage de données face au Cloud Act ?

Comme je le disais, la sécurité est un point essentiel pour nos clients. La première chose qui importe est que nos clients chiffrent leurs données et nous proposons beaucoup d’outils pour le faire. Le RGPD suggère d’ailleurs fortement de chiffrer les données. Ensuite, sans entrer dans le Cloud Act en lui-même, il faut savoir qu’il couvre essentiellement les communications électroniques. Quoi qu’il en soit, par rapport à toute réquisition judiciaire ou mandat de perquisition que nous pouvons avoir, nous challengeons systématiquement la demande et, chaque fois que c’est possible, nous prévenons nos clients pour qu’eux-mêmes puissent se défendre. Dans le cas du Cloud Act, si le client a chiffré les données – et c’est une case à cocher – la seule chose que nous pourrions être amenée à remettre à un juge américain ce serait les données chiffrées sans la clé. Ce qui est considéré comme inutilisable. Donc en réalité, ce n’est pas un sujet.

Dans la santé comme dans la finance, la sécurité est absolument primordiale. Nous sommes heureux de pouvoir fournir une plateforme qui ait toutes les conformités nécessaires, en HDS ou dans de nombreuses autres, et d’aider nos clients en matière de bonnes pratiques. Avoir un outil puissant, c’est bien, mais savoir l’utiliser correctement c’est mieux. Ainsi, nous proposons énormément de formations, à commencer par des formations gratuites. Lorsqu’un client démarre sur AWS, il peut en suivre une qui s’appelle “AWSome day” : une journée gratuite, dans nos locaux. Nous en organisons environ une par mois. Il existe ensuite d’autres modules pour aller plus loin.