Développeur·se senior en sécurité des plateformes - Senior Platform Security Developer

La version anglaise suivra - English version will follow

Affichage contractuel :

Cet affichage vise à constituer notre bassin de contractuel·le·s « evergreen » et reflète un poste permanent à temps plein (ou plus) au sein de notre organisation.

Nous sommes à la recherche de personnes intéressées à se joindre à notre équipe dans le cadre de contrats à temps plein ou à temps partiel. Il n’y a pas nécessairement de poste ouvert en ce moment, mais nous aimerions beaucoup échanger avec vous et vous recontacter lorsqu’un projet correspondant à votre profil se présentera. Si l’idée de collaborer avec nous à l’avenir vous intéresse, nous serions ravi·e·s d’entrer en contact avec vous 

 

Développeur·se senior en sécurité des plateformes

À propos de nous

Toboggan Labs est une firme-conseil boutique qui œuvre à l’intersection de l’IA et de la santé. Nous résolvons des problèmes humains complexes en appliquant des technologies de pointe combinées à une solide compréhension du domaine.

À propos du poste

Nous sommes à la recherche d’un·e développeur·se senior en sécurité des plateformes pour aider nos clients à bâtir des infrastructures sécuritaires et conformes, leur permettant d’avancer rapidement sans compromettre la sécurité. Ce rôle combine une expertise approfondie en infrastructure infonuagique et en pratiques DevOps avec un volet concret de sécurité, particulièrement en gestion des identités et en sécurité des postes de travail.

Dans ce rôle, vous travaillerez directement avec des clients — principalement des organisations du secteur de la santé et d’industries réglementées — afin de concevoir et de mettre en œuvre des solutions de sécurité alignées sur leurs exigences de conformité, tout en soutenant leur cadence d’affaires. Vous serez intégré·e à des équipes multidisciplinaires et pourriez être amené·e à diriger des volets sécurité dans le cadre de mandats plus importants.

Veuillez noter que, bien que nous soyons spécialisés dans le secteur de la santé et les industries réglementées, tous nos projets ne relèvent pas de ces domaines. Vous pourriez donc être amené·e à travailler sur des projets variés dans différents secteurs, selon les besoins.

Vos responsabilités quotidiennes

• Sécurité de l’infrastructure — Concevoir et mettre en œuvre des architectures infonuagiques sécurisées sur AWS, bâtir de l’infrastructure sous forme de code (Infrastructure-as-Code) avec Terraform et intégrer des contrôles de sécurité dans les pipelines CI/CD. Renforcer les plateformes afin de répondre aux exigences de conformité SOC 2, HIPAA, PIPEDA et autres cadres réglementaires. Sur certains projets, vous travaillerez uniquement sur l’infrastructure, sans volet sécurité spécifique — nous sommes une firme-conseil et les besoins varient d’un client à l’autre.
• Gestion des identités et des accès — Déployer et administrer des systèmes d’authentification basés sur Okta, mettre en place l’authentification unique (SSO) et l’authentification multifacteur (MFA) dans les environnements clients, et automatiser la gestion du cycle de vie des employés grâce au provisionnement SCIM et à des flux de gouvernance des accès.
• Automatisation et opérations de sécurité — Concevoir des flux de travail et des intégrations (Okta Workflows, API, scripts) pour automatiser les opérations de sécurité, de la création de comptes utilisateurs à la collecte de preuves de conformité. Gérer des solutions de gestion des appareils (MDM) telles que Rippling, Jamf ou des outils similaires, et appliquer des standards de sécurité pour les appareils. Soutenir les activités d’audit et de conformité, incluant la documentation des contrôles de sécurité et les évaluations de risques.
• Leadership technique (selon les projets) — Définir la portée des volets sécurité, coordonner les efforts avec les équipes sécurité et TI des clients, et offrir des conseils stratégiques sur les décisions d’architecture de sécurité.
• Soutien à l’équipe — Mentorer des collègues sur les meilleures pratiques en sécurité, contribuer aux outils et standards de sécurité internes, participer aux entrevues et faire des présentations internes.

À propos de vous

Nous recherchons des personnes ayant un solide historique dans la conception et la sécurisation d’infrastructures en environnement de production. La majorité de nos clients utilisent AWS, Terraform, GitHub Actions ou des outils CI/CD similaires, ainsi que des fournisseurs d’identité modernes. Vous devez être à l’aise de travailler à la frontière entre l’infrastructure, la sécurité et les opérations TI.

Quand nous parlons de sécurité des plateformes, nous faisons référence à une personne capable de concevoir des systèmes sécurisés, d’écrire de l’infrastructure sous forme de code, de dépanner des configurations de fournisseurs d’identité et d’expliquer des contrôles de sécurité à des parties prenantes techniques et non techniques. Ce que nous recherchons avant tout, c’est la capacité de faire le lien entre les exigences de sécurité et leur mise en œuvre concrète dans l’infrastructure — et ce, dans un contexte de consultation auprès de clients.

Nous vous encourageons à postuler si vous :

• Avez 5 ans ou plus d’expérience en infrastructure, DevOps ou ingénierie de la sécurité;
• Avez une expérience pratique avec des infrastructures AWS ou Azure et des outils d’infrastructure-as-code (Terraform, CloudFormation ou équivalents);
• Avez déployé et administré Okta ou des fournisseurs d’identité similaires (Azure AD, Google Workspace), incluant le SSO, le MFA, le provisionnement SCIM et la gouvernance des accès;
• Avez de l’expérience avec des solutions MDM / de gestion des postes de travail et des politiques de sécurité des appareils;
• Êtes familier·ère avec des cadres de conformité tels que SOC 2, HIPAA, ISO 27001 ou équivalents, et avez participé à des processus d’audit;
• Possédez d’excellentes compétences en communication et êtes capable d’expliquer des concepts complexes en sécurité et en infrastructure de façon claire et accessible;
• Êtes adaptable, autonome et à l’aise dans des environnements clients dynamiques;
• Savez expliquer les compromis en matière de sécurité et les relier aux besoins d’affaires.

Atouts supplémentaires

• Expérience dans des rôles orientés client (consultation, ingénierie d’implantation, services-conseils);
• Expérience dans le secteur de la santé ou d’autres industries fortement réglementées;
• Expérience en développement logiciel au-delà du simple scripting (développement de fonctionnalités, d’API ou d’applications);
• Expérience avec la sécurité des conteneurs, Kubernetes ou des outils de sécurité cloud-native;
• Expérience en automatisation de la sécurité à l’aide de scripts (Python, Bash) ou d’outils de workflow (Okta Workflows, Tray.io, Workato);
• Détention de certifications pertinentes (AWS Security Specialty, CISSP ou équivalentes).

Toutes nos offres d’emploi décrivent un peu une licorne. Si vous êtes plutôt un « narval », postulez quand même ! Il n’est pas nécessaire de répondre à toutes les exigences, ni aux critères bonis. L’expérience et les compétences sont importantes, mais le potentiel de croissance et l’attitude le sont tout autant. Nous sommes généralement flexibles quant aux niveaux ou pouvons vous orienter vers une offre plus appropriée lorsqu’elle sera ouverte.

Ce que nous offrons

Nous sommes une entreprise en télétravail d’abord, avec un espace de bureau à Montréal. Nous privilégions l’embauche au Québec, mais sommes ouverts aux candidatures partout au Canada dans les fuseaux horaires EST ±2.

Toboggan Labs valorise la diversité des personnes qu’elle embauche et qu’elle sert. Pour nous, la diversité signifie créer un milieu de travail où les différences de chacun·e sont reconnues, appréciées, respectées et prises en compte afin de développer et de mettre à profit les talents et les forces de chaque personne.

Contract Posting: 

This posting is for our evergreen contractor pool and mirrors a full-time permanent position (or more) within our organization. 

We are looking for individuals interested in joining our team on full-time or part-time contracts.  We do not necessarily have an open role right now, but we would love to talk to you and reach out when a suitable project arises. If you’re interested in collaborating with us in the future, we’d love to connect!

 

Senior Platform Security Developer

About Us

Toboggan Labs is a boutique consultancy building at the intersection of AI and healthcare. We solve challenging human problems by applying cutting-edge technology and domain understanding.

About the role

We’re seeking a senior platform security developer to help our clients build secure, compliant infrastructure that enables their teams to move fast without compromising on security. This position combines deep expertise in cloud infrastructure and DevOps practices with hands-on security engineering, particularly in identity management and endpoint security.

In this role, you will work directly with clients—primarily healthcare and regulated-industry organizations—designing and implementing security solutions that align with their compliance requirements while supporting their business velocity. You’ll be embedded in multi-disciplinary teams and may lead security workstreams on larger engagements.

Note that while we specialize in healthcare and regulated industries, not all our projects are in these fields, so you may work across different domains from time to time.

Your work will consist of:

• Infrastructure security engineering — designing and implementing secure cloud architectures on AWS, building infrastructure-as-code with Terraform, and integrating security controls into CI/CD pipelines. Hardening platforms to meet SOC 2, HIPAA, PIPEDA, and other regulatory requirements. On some projects, you’ll focus purely on infrastructure work without a security emphasis—this is a consultancy, and client needs vary.
• Identity and access management — deploying and administering Okta-based authentication systems, implementing single sign-on (SSO) and multi-factor authentication (MFA) across client environments, and automating employee lifecycle management with SCIM provisioning and access governance workflows.
• Security automation and operations — building workflows and integrations (Okta Workflows, APIs, scripting) to automate security operations, from user provisioning to compliance evidence collection. Managing MDM solutions (Rippling, Jamf, or similar) and enforcing device security baselines. Supporting audit and compliance initiatives including security control documentation and risk assessment activities.
• On some projects, technical leadership — scoping security workstreams, coordinating with client security and IT teams, and providing advisory guidance on security architecture decisions.
• Supporting the team — mentoring colleagues on security best practices, contributing to internal security tooling and standards, participating in interviews, and presenting internally.
• About you
• We are seeking individuals with a strong track record of building and securing infrastructure in production environments. Most of our clients use AWS, Terraform, GitHub Actions or similar CI/CD tools, and modern identity providers. You should be comfortable working across the traditional boundaries between infrastructure, security, and IT operations.

When we say platform security, we mean someone who can architect secure systems, write infrastructure-as-code, troubleshoot identity provider configurations, and explain security controls to both technical and non-technical stakeholders. The key thing we’re looking for is the ability to bridge security requirements with infrastructure implementation—and to do so in client-facing consulting contexts.

About you

We are seeking XYZ. 

We want you to apply if you:

• Have 5+ years of experience in infrastructure, DevOps, or security engineering roles.
• Have hands-on experience with AWS or Azure infrastructure and infrastructure-as-code tools (Terraform, CloudFormation, or similar).
• Have deployed and administered Okta or similar identity providers (Azure AD, Google Workspace) including SSO, MFA, SCIM provisioning, and access governance.
• Have experience with MDM/endpoint management solutions and device security policies.
• Are familiar with compliance frameworks such as SOC 2, HIPAA, ISO 27001, or similar, and have supported audit processes.
• Have excellent communication skills and can explain complex security and infrastructure topics in an accessible way to diverse stakeholders.
• Are adaptable, self-motivated, and thrive in fast-moving client environments.
• Can articulate security tradeoffs and relate them to business needs.

Bonus points if you:

• Have experience in client-facing roles such as consulting, implementation engineering, or advisory work.
• Have worked in healthcare or other heavily regulated industries.
• Have software development experience beyond scripting—experience building features, APIs, or applications.
• Have experience with container security, Kubernetes, or cloud-native security tooling.
• Have built security automation using scripting (Python, Bash) or workflow tools (Okta Workflows, Tray.io, Workato).
• Hold relevant certifications (AWS Security Specialty, CISSP, or similar).

All of our job postings describe a bit of a unicorn. If you’re kind of a “narwhal,” please apply anyway. You don’t need to meet all the requirements, let alone the bonus criteria. While experience and skill sets are valuable, growth potential and attitudes are equally important. We are usually flexible on levels or can advise you when a more relevant posting opens.

What we offer

We are a remote-first company with office space in Montreal. We prefer to hire in Quebec, but we are open to candidates anywhere in the EST±2 time zone in Canada.

Toboggan Labs values the diversity of the people it hires and serves. Diversity, for us, means fostering a workplace in which a person's differences are recognized, appreciated, respected and responded to in ways that fully develop and utilize their talents and strengths.