Développeur·se DevSecOps - DevSecOps Developer

La version anglaise suivra - English version will follow 

À propos de nous

Toboggan Labs est une firme-conseil boutique qui œuvre à l’intersection de l’IA et de la santé. Nous résolvons des problèmes humains complexes en appliquant des technologies de pointe combinées à une solide compréhension du domaine.

À propos du poste

Nous sommes à la recherche d'un·e développeur·se DevSecOps pour joindre notre équipe et intégrer la sécurité dans les pipelines de développement, l'infrastructure infonuagique et les pratiques d'ingénierie de nos clients.

Dans ce rôle, vous concevrez et implémenterez des contrôles de sécurité directement dans les pipelines CI/CD, automatiserez les analyses de vulnérabilités, durcirez l'infrastructure infonuagique et collaborerez avec les équipes de développement et d'opérations pour ancrer la sécurité dès les premières étapes du cycle de développement. Vous travaillerez aux côtés de praticiens et praticiennes senior en sécurité et des équipes clients pour bâtir des environnements sécurisés, fiables et conformes.

Veuillez noter que, bien que nous soyons spécialisés dans le secteur de la santé et les industries réglementées, tous nos projets ne relèvent pas de ces domaines. Vous pourriez donc être amené·e à travailler sur des projets variés dans différents secteurs, selon les besoins.

Vos responsabilités quotidiennes

• Sécurité des pipelines CI/CD — Intégrer des outils d'analyse statique (SAST), d'analyse de composition logicielle (SCA) et de scan d'images de conteneurs dans les pipelines de déploiement; automatiser les vérifications de sécurité dans GitHub Actions, ArgoCD ou équivalents.
• Sécurité de l'infrastructure infonuagique — Implémenter et maintenir des contrôles de sécurité dans les environnements AWS ou Azure à l'aide d'outils d'infrastructure-as-code (Terraform, CloudFormation ou équivalents), incluant la gestion des politiques IAM, le durcissement réseau et la gestion des vulnérabilités.
• Gestion des identités et des accès — Concevoir et administrer des architectures IAM sécurisées, incluant le SSO, le MFA, le provisionnement SCIM et la gouvernance des accès, en travaillant avec des fournisseurs d'identité tels qu'Okta et Azure AD.
• Automatisation de la sécurité et conformité — Développer des automatisations pour la détection de dérives de configuration, la remédiation et la surveillance de la conformité; contribuer aux programmes SOC 2, HIPAA et ISO 27001.
• Sur certains mandats, leadership technique — Piloter des volets spécifiques en sécurité ou prendre en charge des livrables clients avec une autonomie croissante.
• Soutien à l'équipe — Documenter les architectures et procédures de sécurité, contribuer aux outils et standards internes, participer aux activités de partage des connaissances et aux entrevues.

À propos de vous

Nous recherchons des personnes ayant de solides bases en développement logiciel et en sécurité, désireuses de développer leurs compétences dans un contexte-conseil couvrant la sécurité infonuagique, l'intégration DevSecOps et la conformité. La majorité de nos clients utilisent AWS, des outils CI/CD modernes et des fournisseurs d'identité courants. Vous devez être à l'aise pour travailler à la frontière entre le développement, les opérations et la sécurité.

Quand nous parlons de DevSecOps, nous cherchons quelqu'un capable de lire un pipeline CI/CD et d'y repérer une faille de sécurité, d'écrire l'automatisation pour la corriger, et d'expliquer clairement le risque à une équipe de développement — quelqu'un qui comprend autant le code que l'infrastructure, et qui considère la sécurité comme une responsabilité partagée.

Nous vous encourageons à postuler si vous :

• Avez 5 ans ou plus d'expérience en développement logiciel, DevOps ou sécurité applicative;
• Avez une expérience pratique avec des infrastructures AWS ou Azure et des outils d'infrastructure-as-code (Terraform, CloudFormation ou équivalents);
• Avez une solide expérience avec les pipelines CI/CD (GitHub Actions, ArgoCD, Jenkins ou équivalents) et l'intégration d'outils de sécurité dans les processus de déploiement;
• Avez déployé et administré Okta ou des fournisseurs d'identité similaires (Azure AD, Google Workspace), incluant le SSO, le MFA, le provisionnement SCIM et la gouvernance des accès;
• Êtes familier·ère avec les bonnes pratiques de sécurité pour l'infrastructure infonuagique, incluant la sécurité réseau, l'IAM, le chiffrement et la gestion des vulnérabilités;
• Êtes familier·ère avec des cadres de conformité tels que SOC 2, HIPAA, ISO 27001 ou équivalents;
• Possédez d'excellentes compétences en communication et êtes capable d'expliquer des concepts de sécurité et d'infrastructure à des publics variés;
• Êtes adaptable, autonome et à l'aise dans des environnements clients dynamiques.

Atouts supplémentaires

• Expérience dans des rôles orientés client (consultation, ingénierie d'implantation, services-conseils);
• Expérience dans le secteur de la santé ou d'autres industries fortement réglementées;
• Expérience avec la sécurité des conteneurs, Kubernetes ou des outils de sécurité cloud-native (Falco, OPA, Trivy ou équivalents);
• Expérience en automatisation de la sécurité à l'aide de scripts (Python, Bash) ou d'outils de workflow (Okta Workflows, Tray.io, Workato);
• Expérience avec des solutions MDM / de gestion des postes de travail et des politiques de sécurité des appareils;
• Détention de certifications pertinentes (AWS Security Specialty, CKS, CISSP ou équivalentes).

Toutes nos offres d’emploi décrivent un peu une licorne. Si vous êtes plutôt un « narval », postulez quand même ! Il n’est pas nécessaire de répondre à toutes les exigences, ni aux critères bonus. L’expérience et les compétences sont importantes, mais le potentiel de croissance et l’attitude le sont tout autant. Nous sommes généralement flexibles quant aux niveaux où vous pouvez vous orienter vers une offre plus appropriée lorsqu’elle sera ouverte.

Ce que nous offrons

Nous sommes une entreprise en télétravail d’abord, avec un espace de bureau à Montréal. Nous privilégions l’embauche au Québec, mais sommes ouverts aux candidatures partout au Canada dans les fuseaux horaires EST ±2.

Toboggan Labs valorise la diversité des personnes qu’elle embauche et qu’elle sert. Pour nous, la diversité signifie créer un milieu de travail où les différences de chacun·e sont reconnues, appréciées, respectées et prises en compte afin de développer et de mettre à profit les talents et les forces de chaque personne.

En plus :

• Budget pour le bureau à domicile et la technologie;
• Budget annuel de développement professionnel;
• REER avec contribution de l’employeur après 1 an;
• Dès le premier jour :
• Assurance santé et dentaire payée à 100 % par l’employeur, incluant un montant annuel pour les soins complémentaires (acupuncture, ostéopathie, massothérapie, naturopathie, psychologie, etc.);
• Assurance vie et assurance invalidité de courte et de longue durée;
• Complément de congé parental (8 semaines), disponible pour les employés ayant plus d'un an d'ancienneté, quel que soit le chemin vers la parentalité.

DevSecOps Developer

About Us

Toboggan Labs is a boutique consultancy building at the intersection of AI and healthcare. We solve challenging human problems by applying cutting-edge technology and domain understanding.

About the role

We're seeking a DevSecOps Developer to join our team and integrate security into development pipelines, cloud infrastructure, and engineering practices across client environments.

In this role, you will design and implement security controls directly into CI/CD pipelines, automate vulnerability scanning, harden cloud infrastructure, and collaborate with development and operations teams to embed security early in the development lifecycle. You will work alongside senior security practitioners and client teams to build environments that are secure, reliable, and compliant.

Note that while we specialize in healthcare and regulated industries, not all our projects are in these fields, so you may work across different domains from time to time.

Your work will consist of:

• CI/CD pipeline security — Integrate static analysis (SAST), software composition analysis (SCA), and container image scanning tools into deployment pipelines; automate security checks in GitHub Actions, ArgoCD, or equivalents.
• Cloud infrastructure security — Implement and maintain security controls across AWS or Azure environments using infrastructure-as-code tools (Terraform, CloudFormation, or equivalents), including IAM policy management, network hardening, and vulnerability management.
• Identity and access management — Design and administer secure IAM architectures, including SSO, MFA, SCIM provisioning, and access governance, working with identity providers such as Okta and Azure AD.
• Security automation and compliance — Build automations for configuration drift detection, remediation, and compliance monitoring; contribute to SOC 2, HIPAA, and ISO 27001 programs.
• On some projects, technical leadership — Lead specific security workstreams or own client-facing deliverables with growing autonomy.
• Supporting the team — Document security architectures and procedures, assist with internal tools and standards, participate in knowledge-sharing activities and interview

About you

We are seeking individuals with a solid foundation in software development and security, who are eager to grow their skills in a consulting environment spanning cloud security, DevSecOps integration, and compliance. Most of our clients run AWS, modern CI/CD tooling, and common identity providers. You should be comfortable working at the intersection of development, operations, and security.

When we say DevSecOps, we mean someone who can read a CI/CD pipeline, spot a security gap, write the automation to fix it, and explain the risk clearly to a development team — someone who understands both code and infrastructure, and sees security as a shared responsibility.

We want you to apply if you:

• Have 5+ years of experience in software development, DevOps, or application security;
• Have hands-on experience with AWS or Azure infrastructure and infrastructure-as-code tools (Terraform, CloudFormation, or equivalents);
• Have strong experience with CI/CD pipelines (GitHub Actions, ArgoCD, Jenkins, or equivalents) and integrating security tooling into deployment workflows;
• Have deployed and administered Okta or similar identity providers (Azure AD, Google Workspace), including SSO, MFA, SCIM provisioning, and access governance;
• Are familiar with security best practices for cloud infrastructure, including network security, IAM, encryption, and vulnerability management;
• Are familiar with compliance frameworks such as SOC 2, HIPAA, ISO 27001, or equivalents;
• Have excellent communication skills and can explain security and infrastructure concepts to varied audiences;
• Are adaptable, self-directed, and comfortable in dynamic client environments.

Bonus points if you:

• Have experience in client-facing roles such as consulting, implementation engineering, or advisory work;
• Have worked in healthcare or other heavily regulated industries;
• Have experience with container security, Kubernetes, or cloud-native security tools (Falco, OPA, Trivy, or equivalents);
• Have built security automation using scripts (Python, Bash) or workflow tools (Okta Workflows, Tray.io, Workato);
• Have experience with MDM / endpoint management solutions and device security policies;
• Hold relevant certifications (AWS Security Specialty, CKS, CISSP, or similar).

All of our job postings describe a bit of a unicorn. If you’re kind of a “narwhal,” please apply anyway. You don’t need to meet all the requirements, let alone the bonus criteria. While experience and skill sets are valuable, growth potential and attitudes are equally important. We are usually flexible on levels or can advise you when a more relevant posting opens.

What we offer

We are a remote-first company with office space in Montreal. We prefer to hire in Quebec, but we are open to candidates anywhere in the EST±2 time zone in Canada.

Toboggan Labs values the diversity of the people it hires and serves. Diversity, for us, means fostering a workplace in which a person's differences are recognized, appreciated, respected and responded to in ways that fully develop and utilize their talents and strengths.

In addition:

• Home office/technology budget;
• Yearly professional development budget;
• Company matching RRSP after 1 year;
• From Day 1
• 100% employer-paid health & dental insurance  including a yearly bank of coverage for complementary medicine (Acupuncture, osteopathy, massage therapy, naturopathy, psychology, etc.); 
• Life, long & short-term disability insurance;
• Parental leave top-up (8 weeks), available to employees with 1+ year of tenure, regardless of path to parenthood.