Développeur·se DevSecOps - DevSecOps Developer

<p><strong><strong data-start="0" data-end="30" data-is-last-node="" data-is-only-node="">La version anglaise suivra - </strong>English version will follow&nbsp;</strong></p> <p>&nbsp;</p> <div class="_chunkWrapper_bsh32_21"> <p class="font-claude-response-body break-words whitespace-normal"><strong><span class="_animating_bsh32_10" data-newtext-seq="2">Développeur·se DevSecOps&nbsp;- DevSecOps Developer</span></strong></p> </div> <div class="_chunkWrapper_bsh32_21"> <p class="font-claude-response-body break-words whitespace-normal">&nbsp;</p> <p class="font-claude-response-body break-words whitespace-normal"><strong><span class="_animating_bsh32_10" data-newtext-seq="2">Développeur·se DevSecOps</span></strong></p> </div> <p><strong>À propos de nous</strong></p> <p>Toboggan Labs est une firme-conseil boutique qui œuvre à l’intersection de l’IA et de la santé. Nous résolvons des problèmes humains complexes en appliquant des technologies de pointe combinées à une solide compréhension du domaine.</p> <p><strong>À propos du poste</strong></p> <p class="font-claude-response-body break-words whitespace-normal">Nous sommes à la recherche d'un·e développeur·se DevSecOps pour joindre notre équipe et intégrer la sécurité dans les pipelines de développement, l'infrastructure infonuagique et les pratiques d'ingénierie de nos clients.</p> <p class="font-claude-response-body break-words whitespace-normal">Dans ce rôle, vous concevrez et implémenterez des contrôles de sécurité directement dans les pipelines CI/CD, automatiserez les analyses de vulnérabilités, durcirez l'infrastructure infonuagique et collaborerez avec les équipes de développement et d'opérations pour ancrer la sécurité dès les premières étapes du cycle de développement. Vous travaillerez aux côtés de praticiens et praticiennes senior en sécurité et des équipes clients pour bâtir des environnements sécurisés, fiables et conformes.</p> <p class="font-claude-response-body break-words whitespace-normal">Veuillez noter que, bien que nous soyons spécialisés dans le secteur de la santé et les industries réglementées, tous nos projets ne relèvent pas de ces domaines. Vous pourriez donc être amené·e à travailler sur des projets variés dans différents secteurs, selon les besoins.</p> <p><strong>Vos responsabilités quotidiennes</strong></p> <ul> <li class="font-claude-response-body whitespace-normal break-words pl-2">Sécurité des pipelines CI/CD — Intégrer des outils d'analyse statique (SAST), d'analyse de composition logicielle (SCA) et de scan d'images de conteneurs dans les pipelines de déploiement; automatiser les vérifications de sécurité dans GitHub Actions, ArgoCD ou équivalents.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Sécurité de l'infrastructure infonuagique — Implémenter et maintenir des contrôles de sécurité dans les environnements AWS ou Azure à l'aide d'outils d'infrastructure-as-code (Terraform, CloudFormation ou équivalents), incluant la gestion des politiques IAM, le durcissement réseau et la gestion des vulnérabilités.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Gestion des identités et des accès — Concevoir et administrer des architectures IAM sécurisées, incluant le SSO, le MFA, le provisionnement SCIM et la gouvernance des accès, en travaillant avec des fournisseurs d'identité tels qu'Okta et Azure AD.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Automatisation de la sécurité et conformité — Développer des automatisations pour la détection de dérives de configuration, la remédiation et la surveillance de la conformité; contribuer aux programmes SOC 2, HIPAA et ISO 27001.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Sur certains mandats, leadership technique — Piloter des volets spécifiques en sécurité ou prendre en charge des livrables clients avec une autonomie croissante.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Soutien à l'équipe — Documenter les architectures et procédures de sécurité, contribuer aux outils et standards internes, participer aux activités de partage des connaissances et aux entrevues.</li> </ul> <p><strong>À propos de vous</strong></p> <p class="font-claude-response-body break-words whitespace-normal">Nous recherchons des personnes ayant de solides bases en développement logiciel et en sécurité, désireuses de développer leurs compétences dans un contexte-conseil couvrant la sécurité infonuagique, l'intégration DevSecOps et la conformité. La majorité de nos clients utilisent AWS, des outils CI/CD modernes et des fournisseurs d'identité courants. Vous devez être à l'aise pour travailler à la frontière entre le développement, les opérations et la sécurité.</p> <p class="font-claude-response-body break-words whitespace-normal">Quand nous parlons de DevSecOps, nous cherchons quelqu'un capable de lire un pipeline CI/CD et d'y repérer une faille de sécurité, d'écrire l'automatisation pour la corriger, et d'expliquer clairement le risque à une équipe de développement — quelqu'un qui comprend autant le code que l'infrastructure, et qui considère la sécurité comme une responsabilité partagée.</p> <p><strong>Nous vous encourageons à postuler si vous :</strong></p> <ul> <li class="font-claude-response-body whitespace-normal break-words pl-2">Avez 5 ans ou plus d'expérience en développement logiciel, DevOps ou sécurité applicative;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Avez une expérience pratique avec des infrastructures AWS ou Azure et des outils d'infrastructure-as-code (Terraform, CloudFormation ou équivalents);</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Avez une solide expérience avec les pipelines CI/CD (GitHub Actions, ArgoCD, Jenkins ou équivalents) et l'intégration d'outils de sécurité dans les processus de déploiement;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Avez déployé et administré Okta ou des fournisseurs d'identité similaires (Azure AD, Google Workspace), incluant le SSO, le MFA, le provisionnement SCIM et la gouvernance des accès;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Êtes familier·ère avec les bonnes pratiques de sécurité pour l'infrastructure infonuagique, incluant la sécurité réseau, l'IAM, le chiffrement et la gestion des vulnérabilités;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Êtes familier·ère avec des cadres de conformité tels que SOC 2, HIPAA, ISO 27001 ou équivalents;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Possédez d'excellentes compétences en communication et êtes capable d'expliquer des concepts de sécurité et d'infrastructure à des publics variés;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Êtes adaptable, autonome et à l'aise dans des environnements clients dynamiques.</li> </ul> <p><strong>Atouts supplémentaires</strong></p> <ul> <li class="font-claude-response-body whitespace-normal break-words pl-2">Expérience dans des rôles orientés client (consultation, ingénierie d'implantation, services-conseils);</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Expérience dans le secteur de la santé ou d'autres industries fortement réglementées;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Expérience avec la sécurité des conteneurs, Kubernetes ou des outils de sécurité cloud-native (Falco, OPA, Trivy ou équivalents);</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Expérience en automatisation de la sécurité à l'aide de scripts (Python, Bash) ou d'outils de workflow (Okta Workflows, Tray.io, Workato);</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Expérience avec des solutions MDM / de gestion des postes de travail et des politiques de sécurité des appareils;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Détention de certifications pertinentes (AWS Security Specialty, CKS, CISSP ou équivalentes).</li> </ul> <p>Toutes nos offres d’emploi décrivent un peu une licorne. Si vous êtes plutôt un « narval », postulez quand même ! Il n’est pas nécessaire de répondre à toutes les exigences, ni aux critères bonus. L’expérience et les compétences sont importantes, mais le potentiel de croissance et l’attitude le sont tout autant. Nous sommes généralement flexibles quant aux niveaux où vous pouvez vous orienter vers une offre plus appropriée lorsqu’elle sera ouverte.</p> <p><strong>Ce que nous offrons</strong></p> <p>Nous sommes une entreprise en télétravail d’abord, avec un espace de bureau à Montréal. Nous privilégions l’embauche au Québec, mais sommes ouverts aux candidatures partout au Canada dans les fuseaux horaires EST ±2.</p> <p>Toboggan Labs valorise la diversité des personnes qu’elle embauche et qu’elle sert. Pour nous, la diversité signifie créer un milieu de travail où les différences de chacun·e sont reconnues, appréciées, respectées et prises en compte afin de développer et de mettre à profit les talents et les forces de chaque personne.<br><br>En plus :</p> <ul> <li>Budget pour le bureau à domicile et la technologie;</li> <li>Budget annuel de développement professionnel;</li> <li>REER avec contribution de l’employeur après 1 an;</li> <li>Dès le premier jour :</li> <ul> <li>Assurance santé et dentaire payée à 100 % par l’employeur, incluant un montant annuel pour les soins complémentaires (acupuncture, ostéopathie, massothérapie, naturopathie, psychologie, etc.);</li> <li>Assurance vie et assurance invalidité de courte et de longue durée;</li> </ul> <li>Complément de congé parental (8 semaines), disponible pour les employés ayant plus d'un an d'ancienneté, quel que soit le chemin vers la parentalité.</li> </ul> <p>&nbsp;</p> <p>&nbsp;</p> <p>&nbsp;</p> <p class="font-claude-response-body break-words whitespace-normal"><strong>DevSecOps Developer</strong></p> <p class="font-claude-response-body break-words whitespace-normal">&nbsp;</p> <p><strong>About Us</strong></p> <p>Toboggan Labs is a boutique consultancy building at the intersection of AI and healthcare. We solve challenging human problems by applying cutting-edge technology and domain understanding.</p> <p><strong>About the role</strong></p> <p class="font-claude-response-body break-words whitespace-normal">We're seeking a DevSecOps Developer to join our team and integrate security into development pipelines, cloud infrastructure, and engineering practices across client environments.</p> <p class="font-claude-response-body break-words whitespace-normal">In this role, you will design and implement security controls directly into CI/CD pipelines, automate vulnerability scanning, harden cloud infrastructure, and collaborate with development and operations teams to embed security early in the development lifecycle. You will work alongside senior security practitioners and client teams to build environments that are secure, reliable, and compliant.</p> <p class="font-claude-response-body break-words whitespace-normal">Note that while we specialize in healthcare and regulated industries, not all our projects are in these fields, so you may work across different domains from time to time.</p> <p><br><strong>Your work will consist of:</strong></p> <ul> <li class="font-claude-response-body whitespace-normal break-words pl-2">CI/CD pipeline security — Integrate static analysis (SAST), software composition analysis (SCA), and container image scanning tools into deployment pipelines; automate security checks in GitHub Actions, ArgoCD, or equivalents.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Cloud infrastructure security — Implement and maintain security controls across AWS or Azure environments using infrastructure-as-code tools (Terraform, CloudFormation, or equivalents), including IAM policy management, network hardening, and vulnerability management.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Identity and access management — Design and administer secure IAM architectures, including SSO, MFA, SCIM provisioning, and access governance, working with identity providers such as Okta and Azure AD.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Security automation and compliance — Build automations for configuration drift detection, remediation, and compliance monitoring; contribute to SOC 2, HIPAA, and ISO 27001 programs.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">On some projects, technical leadership — Lead specific security workstreams or own client-facing deliverables with growing autonomy.</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Supporting the team — Document security architectures and procedures, assist with internal tools and standards, participate in knowledge-sharing activities and interview</li> </ul> <p><strong>About you</strong></p> <p class="font-claude-response-body break-words whitespace-normal">We are seeking individuals with a solid foundation in software development and security, who are eager to grow their skills in a consulting environment spanning cloud security, DevSecOps integration, and compliance. Most of our clients run AWS, modern CI/CD tooling, and common identity providers. You should be comfortable working at the intersection of development, operations, and security.</p> <p class="font-claude-response-body break-words whitespace-normal">When we say DevSecOps, we mean someone who can read a CI/CD pipeline, spot a security gap, write the automation to fix it, and explain the risk clearly to a development team — someone who understands both code and infrastructure, and sees security as a shared responsibility.</p> <p><strong>We want you to apply if you:</strong></p> <ul> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have 5+ years of experience in software development, DevOps, or application security;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have hands-on experience with AWS or Azure infrastructure and infrastructure-as-code tools (Terraform, CloudFormation, or equivalents);</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have strong experience with CI/CD pipelines (GitHub Actions, ArgoCD, Jenkins, or equivalents) and integrating security tooling into deployment workflows;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have deployed and administered Okta or similar identity providers (Azure AD, Google Workspace), including SSO, MFA, SCIM provisioning, and access governance;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Are familiar with security best practices for cloud infrastructure, including network security, IAM, encryption, and vulnerability management;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Are familiar with compliance frameworks such as SOC 2, HIPAA, ISO 27001, or equivalents;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have excellent communication skills and can explain security and infrastructure concepts to varied audiences;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Are adaptable, self-directed, and comfortable in dynamic client environments.</li> </ul> <p><strong>Bonus points if you:</strong></p> <ul> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have experience in client-facing roles such as consulting, implementation engineering, or advisory work;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have worked in healthcare or other heavily regulated industries;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have experience with container security, Kubernetes, or cloud-native security tools (Falco, OPA, Trivy, or equivalents);</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have built security automation using scripts (Python, Bash) or workflow tools (Okta Workflows, Tray.io, Workato);</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Have experience with MDM / endpoint management solutions and device security policies;</li> <li class="font-claude-response-body whitespace-normal break-words pl-2">Hold relevant certifications (AWS Security Specialty, CKS, CISSP, or similar).</li> </ul> <p>All of our job postings describe a bit of a unicorn. If you’re kind of a “narwhal,” please apply anyway. You don’t need to meet all the requirements, let alone the bonus criteria. While experience and skill sets are valuable, growth potential and attitudes are equally important. We are usually flexible on levels or can advise you when a more relevant posting opens.</p> <p><strong>What we offer</strong></p> <p>We are a remote-first company with office space in Montreal. We prefer to hire in Quebec, but we are open to candidates anywhere in the EST±2 time zone in Canada.</p> <p>Toboggan Labs values the diversity of the people it hires and serves. Diversity, for us, means fostering a workplace in which a person's differences are recognized, appreciated, respected and responded to in ways that fully develop and utilize their talents and strengths.<br><br>In addition:</p> <ul> <li>Home office/technology budget;</li> <li>Yearly professional development budget;</li> <li>Company matching RRSP after 1 year;</li> <li>From Day 1</li> <ul> <li>100% employer-paid health &amp; dental insurance&nbsp; including a yearly bank of coverage for complementary medicine (Acupuncture, osteopathy, massage therapy, naturopathy, psychology, etc.);&nbsp;</li> <li>Life, long &amp; short-term disability insurance;</li> </ul> <li>Parental leave top-up (8 weeks), available to employees with 1+ year of tenure, regardless of path to parenthood.</li> </ul> <ul> <li> <div id="message-list_1774982528.380489"> <div> <div> <div> <div> <div> <div> <div> <div> <div> <div> <div> <p>&nbsp;</p> </div> </div> </div> </div> </div> </div> </div> </div> </div> </div> </div> </div> </li> </ul>