Devsecops Engineer Jobs in Quebec (NOW HIRING)

La version anglaise suivra - English version will follow 

A propos de nous

Toboggan Labs est une firme-conseil boutique qui uvre a l'intersection de l'IA et de la sante. Nous resolvons des problemes humains complexes en appliquant des technologies de pointe combinees a une solide comprehension du domaine.

A propos du poste

Nous sommes a la recherche d'une developpeurse DevSecOps pour joindre notre equipe et integrer la securite dans les pipelines de developpement, l'infrastructure infonuagique et les pratiques d'ingenierie de nos clients.

Dans ce role, vous concevrez et implementerez des controles de securite directement dans les pipelines CI/CD, automatiserez les analyses de vulnerabilites, durcirez l'infrastructure infonuagique et collaborerez avec les equipes de developpement et d'operations pour ancrer la securite des les premieres etapes du cycle de developpement. Vous travaillerez aux cotes de praticiens et praticiennes senior en securite et des equipes clients pour batir des environnements securises, fiables et conformes.

Veuillez noter que, bien que nous soyons specialises dans le secteur de la sante et les industries reglementees, tous nos projets ne relevent pas de ces domaines. Vous pourriez donc etre amenee a travailler sur des projets varies dans differents secteurs, selon les besoins.

Vos responsabilites quotidiennes

• Securite des pipelines CI/CD - Integrer des outils d'analyse statique (SAST), d'analyse de composition logicielle (SCA) et de scan d'images de conteneurs dans les pipelines de deploiement; automatiser les verifications de securite dans GitHub Actions, ArgoCD ou equivalents.
• Securite de l'infrastructure infonuagique - Implementer et maintenir des controles de securite dans les environnements AWS ou Azure a l'aide d'outils d'infrastructure-as-code (Terraform, CloudFormation ou equivalents), incluant la gestion des politiques IAM, le durcissement reseau et la gestion des vulnerabilites.
• Gestion des identites et des acces - Concevoir et administrer des architectures IAM securisees, incluant le SSO, le MFA, le provisionnement SCIM et la gouvernance des acces, en travaillant avec des fournisseurs d'identite tels qu'Okta et Azure AD.
• Automatisation de la securite et conformite - Developper des automatisations pour la detection de derives de configuration, la remediation et la surveillance de la conformite; contribuer aux programmes SOC 2, HIPAA et ISO 27001.
• Sur certains mandats, leadership technique - Piloter des volets specifiques en securite ou prendre en charge des livrables clients avec une autonomie croissante.
• Soutien a l'equipe - Documenter les architectures et procedures de securite, contribuer aux outils et standards internes, participer aux activites de partage des connaissances et aux entrevues.

A propos de vous

Nous recherchons des personnes ayant de solides bases en developpement logiciel et en securite, desireuses de developper leurs competences dans un contexte-conseil couvrant la securite infonuagique, l'integration DevSecOps et la conformite. La majorite de nos clients utilisent AWS, des outils CI/CD modernes et des fournisseurs d'identite courants. Vous devez etre a l'aise pour travailler a la frontiere entre le developpement, les operations et la securite.

Quand nous parlons de DevSecOps, nous cherchons quelqu'un capable de lire un pipeline CI/CD et d'y reperer une faille de securite, d'ecrire l'automatisation pour la corriger, et d'expliquer clairement le risque a une equipe de developpement - quelqu'un qui comprend autant le code que l'infrastructure, et qui considere la securite comme une responsabilite partagee.

Nous vous encourageons a postuler si vous :

• Avez 5 ans ou plus d'experience en developpement logiciel, DevOps ou securite applicative;
• Avez une experience pratique avec des infrastructures AWS ou Azure et des outils d'infrastructure-as-code (Terraform, CloudFormation ou equivalents);
• Avez une solide experience avec les pipelines CI/CD (GitHub Actions, ArgoCD, Jenkins ou equivalents) et l'integration d'outils de securite dans les processus de deploiement;
• Avez deploye et administre Okta ou des fournisseurs d'identite similaires (Azure AD, Google Workspace), incluant le SSO, le MFA, le provisionnement SCIM et la gouvernance des acces;
• Etes familierere avec les bonnes pratiques de securite pour l'infrastructure infonuagique, incluant la securite reseau, l'IAM, le chiffrement et la gestion des vulnerabilites;
• Etes familierere avec des cadres de conformite tels que SOC 2, HIPAA, ISO 27001 ou equivalents;
• Possedez d'excellentes competences en communication et etes capable d'expliquer des concepts de securite et d'infrastructure a des publics varies;
• Etes adaptable, autonome et a l'aise dans des environnements clients dynamiques.

Atouts supplementaires

• Experience dans des roles orientes client (consultation, ingenierie d'implantation, services-conseils);
• Experience dans le secteur de la sante ou d'autres industries fortement reglementees;
• Experience avec la securite des conteneurs, Kubernetes ou des outils de securite cloud-native (Falco, OPA, Trivy ou equivalents);
• Experience en automatisation de la securite a l'aide de scripts (Python, Bash) ou d'outils de workflow (Okta Workflows, Tray.io, Workato);
• Experience avec des solutions MDM / de gestion des postes de travail et des politiques de securite des appareils;
• Detention de certifications pertinentes (AWS Security Specialty, CKS, CISSP ou equivalentes).

Toutes nos offres d'emploi decrivent un peu une licorne. Si vous etes plutot un narval , postulez quand meme ! Il n'est pas necessaire de repondre a toutes les exigences, ni aux criteres bonus. L'experience et les competences sont importantes, mais le potentiel de croissance et l'attitude le sont tout autant. Nous sommes generalement flexibles quant aux niveaux ou vous pouvez vous orienter vers une offre plus appropriee lorsqu'elle sera ouverte.

Ce que nous offrons

Nous sommes une entreprise en teletravail d'abord, avec un espace de bureau a Montreal. Nous privilegions l'embauche au Quebec, mais sommes ouverts aux candidatures partout au Canada dans les fuseaux horaires EST 2.

Toboggan Labs valorise la diversite des personnes qu'elle embauche et qu'elle sert. Pour nous, la diversite signifie creer un milieu de travail ou les differences de chacune sont reconnues, appreciees, respectees et prises en compte afin de developper et de mettre a profit les talents et les forces de chaque personne.
En plus :

• Budget pour le bureau a domicile et la technologie;
• Budget annuel de developpement professionnel;
• REER avec contribution de l'employeur apres 1 an;
• Des le premier jour :
• Assurance sante et dentaire payee a 100 % par l'employeur, incluant un montant annuel pour les soins complementaires (acupuncture, osteopathie, massotherapie, naturopathie, psychologie, etc.);
• Assurance vie et assurance invalidite de courte et de longue duree;
• Complement de conge parental (8 semaines), disponible pour les employes ayant plus d'un an d'anciennete, quel que soit le chemin vers la parentalite.

DevSecOps Developer

About Us

Toboggan Labs is a boutique consultancy building at the intersection of AI and healthcare. We solve challenging human problems by applying cutting-edge technology and domain understanding.

About the role

We're seeking a DevSecOps Developer to join our team and integrate security into development pipelines, cloud infrastructure, and engineering practices across client environments.

In this role, you will design and implement security controls directly into CI/CD pipelines, automate vulnerability scanning, harden cloud infrastructure, and collaborate with development and operations teams to embed security early in the development lifecycle. You will work alongside senior security practitioners and client teams to build environments that are secure, reliable, and compliant.

Note that while we specialize in healthcare and regulated industries, not all our projects are in these fields, so you may work across different domains from time to time.

Your work will consist of:

• CI/CD pipeline security - Integrate static analysis (SAST), software composition analysis (SCA), and container image scanning tools into deployment pipelines; automate security checks in GitHub Actions, ArgoCD, or equivalents.
• Cloud infrastructure security - Implement and maintain security controls across AWS or Azure environments using infrastructure-as-code tools (Terraform, CloudFormation, or equivalents), including IAM policy management, network hardening, and vulnerability management.
• Identity and access management - Design and administer secure IAM architectures, including SSO, MFA, SCIM provisioning, and access governance, working with identity providers such as Okta and Azure AD.
• Security automation and compliance - Build automations for configuration drift detection, remediation, and compliance monitoring; contribute to SOC 2, HIPAA, and ISO 27001 programs.
• On some projects, technical leadership - Lead specific security workstreams or own client-facing deliverables with growing autonomy.
• Supporting the team - Document security architectures and procedures, assist with internal tools and standards, participate in knowledge-sharing activities and interview

About you

We are seeking individuals with a solid foundation in software development and security, who are eager to grow their skills in a consulting environment spanning cloud security, DevSecOps integration, and compliance. Most of our clients run AWS, modern CI/CD tooling, and common identity providers. You should be comfortable working at the intersection of development, operations, and security.

When we say DevSecOps, we mean someone who can read a CI/CD pipeline, spot a security gap, write the automation to fix it, and explain the risk clearly to a development team - someone who understands both code and infrastructure, and sees security as a shared responsibility.

We want you to apply if you:

• Have 5+ years of experience in software development, DevOps, or application security;
• Have hands-on experience with AWS or Azure infrastructure and infrastructure-as-code tools (Terraform, CloudFormation, or equivalents);
• Have strong experience with CI/CD pipelines (GitHub Actions, ArgoCD, Jenkins, or equivalents) and integrating security tooling into deployment workflows;
• Have deployed and administered Okta or similar identity providers (Azure AD, Google Workspace), including SSO, MFA, SCIM provisioning, and access governance;
• Are familiar with security best practices for cloud infrastructure, including network security, IAM, encryption, and vulnerability management;
• Are familiar with compliance frameworks such as SOC 2, HIPAA, ISO 27001, or equivalents;
• Have excellent communication skills and can explain security and infrastructure concepts to varied audiences;
• Are adaptable, self-directed, and comfortable in dynamic client environments.

Bonus points if you:

• Have experience in client-facing roles such as consulting, implementation engineering, or advisory work;
• Have worked in healthcare or other heavily regulated industries;
• Have experience with container security, Kubernetes, or cloud-native security tools (Falco, OPA, Trivy, or equivalents);
• Have built security automation using scripts (Python, Bash) or workflow tools (Okta Workflows, Tray.io, Workato);
• Have experience with MDM / endpoint management solutions and device security policies;
• Hold relevant certifications (AWS Security Specialty, CKS, CISSP, or similar).

All of our job postings describe a bit of a unicorn. If you're kind of a "narwhal," please apply anyway. You don't need to meet all the requirements, let alone the bonus criteria. While experience and skill sets are valuable, growth potential and attitudes are equally important. We are usually flexible on levels or can advise you when a more relevant posting opens.

What we offer

We are a remote-first company with office space in Montreal. We prefer to hire in Quebec, but we are open to candidates anywhere in the EST2 time zone in Canada.

Toboggan Labs values the diversity of the people it hires and serves. Diversity, for us, means fostering a workplace in which a person's differences are recognized, appreciated, respected and responded to in ways that fully develop and utilize their talents and strengths.
In addition:

• Home office/technology budget;
• Yearly professional development budget;
• Company matching RRSP after 1 year;
• From Day 1
• 100% employer-paid health & dental insurance  including a yearly bank of coverage for complementary medicine (Acupuncture, osteopathy, massage therapy, naturopathy, psychology, etc.); 
• Life, long & short-term disability insurance;
• Parental leave top-up (8 weeks), available to employees with 1+ year of tenure, regardless of path to parenthood.