Share this Job

Staff Security Developer

Date: Sep 7, 2022

Location: Montreal, QC, CA, H2W 2R2

Company: Houghton Mifflin Harcourt

Job Requisition ID: 17449

Additional Locations: Hybrid position - expected to work in the office 1-2 days per week on average

Staff Security Developer

Houghton Mifflin Harcourtis a global learning company with the mission of changing people's lives by fostering passionate, curious learners. Among the world's largest providers of pre-K-12 education solutions, HMH combines cutting-edge research, editorial excellence, and technological innovation to improve teaching and learning environments and solve complex literacy and education challenges. HMH's interactive, results-driven education solutions are utilized by 50 million students in over 150 countries, and its renowned and awarded novels, non-fiction, children's books, and reference works are enjoyed by readers throughout the world. For more information, visit


TheInformation Technologyorganization is transforming to realize our mission: Become aleader in HMHs digital transformation,and as astrategic partner, innovate and deliverhighest value,competitive advantage solutionsacross all corporate and business functions.Our ambition is to be a digital leader through innovation and develop and deliver leading edge technology such as robotic process automation and artificial intelligence to solve some of HMH’s greatest operational business challenges. Our professionals will have business relevant skills to connect our HMH partners to technologies that propel the businesses to deliver the greatest value for HMH and our customers. We are building a team of IT professionals with an insatiable appetite to learn, a relentless focus on customer service, a technological curiosity toward future possibilities, and a creativity in solving business challenges with leading technologies. Our team will find ways to work together, create a sense of community where it’s safe to take risks and learn together, develop our careers, and all have an opportunity to work on new technologies. We will work together, learn together and have fun together. As a team, we will lead HMH’s digital transformation.


The Opportunity –Staff Security Developer

The Staff Security Developer will report to the Director of Information Security Engineering.As a leader in the Information Security organization, this role willlead the task of refining, managing and executing strategic product/application security roadmap that is based on industry standard software security frameworks. You will plan, implement and track key initiatives focused on product / application security strategy, metrics, compliance, policy, developer awareness, training and stakeholder engagement.You should be comfortable communicating security directives to all employees including but not limited to Team Members, Leadership and Executives when required. You will work closely with multiple teams that make up Information Security, Product Management, Engineering, Legal, Risk and Compliance to improve product / application security controls and drive impactful change to the team and its members.


Duties & Responsibilities include:

  • Work closely with Application, Systems and Network engineering teams on the design, development, and operation of secure online services
  • Proficient in analyzing ambiguous problems, compelling communicator with the ability to receive and analyze information, translating security risk to business risk to driving actionable decisions across multiple levels and departments
  • Work on leading application security remediation work, leading the mitigation initiative to accommodate the developer community priority
  • Working knowledge of exploits and attack vectors for vulnerabilities such as SQL injection, XSS, CSRF, session hijacking and other OWASP vulnerabilities.
  • Working knowledge of Identification and Validation of Security vulnerabilities in Application
  • Work on security incident response and forensics investigation activities
  • Work on Network/Application security vulnerability assessment and management 
  • Work on regulatory requirements and ability to implement technical aspects and other compliance standards where applicable.
  • Review and monitoring of cloud infrastructure, physical infrastructure, and the full life cycle of security alerts etc. through incident response.
  • Work as an internal advocate to ensure securing data, systems, applications, and networks in accordance with security best practices
  • Perform various IT system support and tasks as needed specific to the areas of security
  • Work independently and efficiently to meet deadlines
  • Stay abreast of latest cyber security threats both internal and external
  • Support and implement controls and visibility to meet third party attestations (SOC2, ISO27001, GDPR, SOX)



  • 5+ years of application engineering management experience; 10+ years of application architecture or development experience
  • 5 to 6+ years hands-on experience in application security utilizing SAST, DAST, IAST, RASP and WAF.
  • 5 years with Spring/MVC and Spring filter development and J2EE design patterns and IOC
  • 2+ years scripting or programming experience in Ruby, Python, Shell/BASH scripting, Java, C/C++, C*, Perl, or other languages.
  • 2+ years’ experience with vulnerability Assessment tools, e.g., Nessus, Qualys, etc.
  • 2+ years of experience with SIEM tools such as Splunk, Sumo Logic, etc.
  • 2+ years’ experience in identifying security issues and risks and developing mitigation plans.
  • 4+ years of experience with security infrastructures within cloud environments
  • Proficient experience with common web application attack vectors and related mitigation strategies that translate to controls within the organization
  • Experience within an CIS, NIST or ISO 27001 managed framework.
  • Good understanding of cloud platforms, security, and tools (e.g., PaaS, IasS, SaaS).
  • Knowledge to operate and support AWS shared services components
  • Strong understanding of encryption and authentication technologies
  • Excellent communication (oral and written), interpersonal, organizational, and presentation skills with an ability to represent complex data in executive level graphical reporting dashboards.
  • Highly organized in doing communication with multiple teams with strong organizational skills 
  • Experience working with other cloud platform teams and accommodating requirements from those teams (compute, networking, search, store).
  • Experience of working in a collaborative, agile development environment.
  • Familiarity and understanding of modern web application development with good experience in HTML/CSS/ React/AngularJS
  • Knowledgeof Servlets/JSP/JDBC/JMS/Hibernate/Servlet filters
  • Knowledgeof Webservice technologies including SOAP/REST/JSON/XML/JAX-RS
  • Experience in leading application security remediation work, leading the mitigation initiative to accommodate the developer community priority.
  • Experience in Design, develop, and debug software for externally facing corporate web sites within Web Content Management framework.


Physical Requirements

  • Might be in a stationary position for a considerable time (sitting and/or standing).
  • The person in this position needs to move about inside the office to access file cabinets, office machinery, etc.
  • Constantly operates a computer and other office productivity machinery, such as a calculator, copy machine, and computer printer.
  • Must be able to collaborate with colleagues via face to face, conference calls, and online meetings.



Développeur en sécurité du personnel


Houghton Mifflin Harcourt est une entreprise mondiale d’apprentissage dont la mission est de changer des vies en cultivant des esprits passionnés et curieux.

Comptant parmi les entreprises d’apprentissage mondiales spécialisées dans le contenu éducatif allant du préscolaire à la fin du secondaire, HMH combine recherche de pointe, excellence éditoriale et innovation technologique afin d’améliorer l’environnement changeant d’aujourd’hui et résoudre les défis complexes d’alphabétisation et d’éducation.

Nos solutions éducatives et interactives sont axées sur les résultats et desservent plus de 50 millions d’étudiants dans plus de 150 pays. Nos romans, nos ouvrages généraux, nos livres pour enfants et livres de référence renommés et primés sont appréciés par des lecteurs de partout à travers le monde. Pour plus d’informations, visitez


L’organisation des technologies de l’information se transforme pour réaliser notre mission: devenir un chef de file dans la transformation numérique et, en tant que partenaire stratégique, innover et fournir les solutions les plus avantageuses et les plus compétitives dans toutes les fonctions de l’entreprise. Notre ambition est d’être un leader numérique en innovant, en développant et en fournissant des technologies de pointe telles que l’automatisation des processus robotiques et l’intelligence artificielle pour résoudre certains de nos plus grands défis opérationnels. Nos professionnels auront des compétences commerciales pertinentes pour connecter nos partenaires aux technologies qui propulsent les entreprises à offrir la plus grande valeur à HMH et à ses clients.

Nous bâtissons une équipe de professionnels de l’informatique dotée d’un grand désir d’apprendre, d’une concentration constante sur le service client, d’une curiosité technologique envers les possibilités futures et qui fait preuve de créativité pour résoudre les défis commerciaux avec des technologies de pointe. Notre équipe trouvera des moyens de travailler ensemble, de créer un sentiment de communauté où il est sécuritaire de prendre des risques et d’apprendre ensemble et de développer nos carrières. Tous ses membres auront la possibilité de travailler sur de nouvelles technologies. Nous allons travailler ensemble, apprendre ensemble et nous amuser ensemble. En équipe, nous dirigerons la transformation numérique de HMH.


L’opportunité - Développeur en sécurité du personnel

Le développeur en sécurité du personnel relève du directeur de l’ingénierie en sécurité de l’information. En tant que leader de l’organisation de la sécurité de l’information, vous devrez améliorer, gérer et mettre en œuvre la feuille de route stratégique de la sécurité des produits et applications basée sur les cadres de sécurité logicielle standard de l’industrie. Vous planifierez, mettrez en œuvre et suivrez les initiatives clés axées sur la stratégie de sécurité des produits et applications, les mesures, la conformité, la politique, la sensibilisation des développeurs, la formation et l’engagement des parties prenantes. Vous devez être à l’aise de communiquer les directives de sécurité à tous les employés, notamment, mais sans s’y limiter, aux membres de l’équipe, à la direction et aux cadres, le cas échéant. Vous travaillerez en étroite collaboration avec plusieurs équipes qui font partie de la sécurité de l’information, de la gestion des produits, de l’ingénierie, des affaires juridiques, des risques et de la conformité afin d’améliorer les contrôles de sécurité des produits et applications et apporter des changements importants à l’équipe et à ses membres.


Tâches et responsabilités :

  • Travailler en étroite collaboration avec les équipes d’ingénierie des applications, des systèmes et des réseaux sur la conception, le développement et l’exploitation de services en ligne sécurisés
  • Avoir une excellente capacité d’analyse de problèmes pointus, être un excellent communicateur capable de recevoir et d’analyser des informations et de traduire le risque de sécurité en risque commercial afin de prendre des décisions exploitables à plusieurs niveaux et pour divers départements
  • Travailler à la direction des travaux de correction de la sécurité des applications, en dirigeant des initiatives de réduction des risques pour répondre aux priorités de l’ensemble des développeurs
  • Avoir une connaissance pratique des exploits et des vecteurs d’attaque pour les vulnérabilités telles que l’injection SQL, XSS, CSRF, le vol de session et autres vulnérabilités OWASP.
  • Avoir une connaissance pratique de l’identification et de la validation des vulnérabilités de sécurité dans l’application
  • Intervenir en cas d’incidents en matière de sécurité et participer aux enquêtes criminelles
  • Travailler sur l’évaluation et la gestion des vulnérabilités de sécurité du réseau et des applications
  • Travailler sur les exigences réglementaires et être capable de mettre en œuvre les aspects techniques et autres normes de conformité, le cas échéant.
  • Examiner et surveiller l’infrastructure cloud, l’infrastructure physique et le cycle de vie complet des alertes de sécurité grâce à la réponse aux incidents.
  • Se faire le défenseur de l’entreprise afin d’assurer la sécurisation des données, des systèmes, des applications et des réseaux conformément aux meilleures pratiques de sécurité
  • Effectuer divers supports et tâches du système informatique selon les besoins spécifiques aux domaines de la sécurité
  • Travailler de manière autonome et efficace afin de respecter les délais
  • Savoir se tenir au courant des dernières menaces de cybersécurité internes et externes
  • Soutenir et mettre en œuvre des contrôles ainsi qu’une visibilité pour répondre aux attestations de tiers (SOC2, ISO27001, GDPR, SOX



  • 5 ans et plus d’expérience en gestion d’ingénierie d’application; Plus de 10 ans d’expérience en architecture d’application ou en développement
  • 5 à 6 années d’expérience dans la sécurité des applications utilisant SAST, DAST, IAST, RASP et WAF.
  • 5 ans d’expérience avec le développement de filtres Spring/MVC et Spring, ainsi qu’avec les modèles de conception J2EE et IOC
  • Plus de 2 ans d’expérience en scripts ou programmation en Ruby, Python, scripts Shell/BASH, Java, C/C++, C*, Perl ou autres langages.
  • 2 ans et plus d’expérience avec des outils d’évaluation de la vulnérabilité, par exemple, Nessus, Qualys, etc.
  • 2 ans minimum d’expérience avec des outils SIEM tels que Splunk, Sumo Logic, etc.
  • 2 ans minimum d’expérience dans l’identification des problèmes et des risques de sécurité et dans l’élaboration de plans de réduction des risques.
  • 4 ans minimum d’expérience avec des infrastructures de sécurité dans des environnements cloud
  • Expérience approfondie des vecteurs d’attaque d’applications Web courants et des stratégies de réduction des risques associés qui se traduisent par des contrôles au sein de l’organisation
  • Expérience dans un cadre géré CIS, NIST ou ISO 27001.
  • Bonne compréhension des plateformes cloud, de la sécurité et des outils (par exemple, PaaS, IasS, SaaS).
  • Connaissances pour exploiter et prendre en charge les composants de services partagés AWS
  • Excellente compréhension des technologies de cryptage et d’authentification
  • Excellentes compétences en communication (orale et écrite), interpersonnelles et organisationnelles.  Doit être capable de faire des présentations à la direction en représentant des données complexes dans des tableaux de bord de rapports graphiques.
  • Capable de communiquer avec plusieurs équipes et de démontrer de solides compétences organisationnelles
  • Expérience de travail avec d’autres équipes de plateforme cloud. Doit pouvoir répondre aux exigences de ces équipes (calcul, réseau, recherche, magasin).
  • Expérience de travail dans un environnement de développement collaboratif et agile.
  • Familiarité et compréhension du développement d’applications Web modernes avec une bonne expérience en HTML/CSS/ React/AngularJS
  • Connaissance des filtres Servlets/JSP/JDBC/JMS/Hibernate/Servlet
  • Connaissance des technologies de services Web, notamment SOAP/REST/JSON/XML/JAX-RS
  • Expérience dans la direction de travaux de correction de la sécurité des applications, notamment la mise en œuvre d’initiatives visant à réduire les risques pour répondre aux priorités de l’ensemble des développeurs.
  • Expérience en conception, développement et débogage de logiciels pour des sites Web d’entreprise orientés vers l’extérieur dans le cadre de la gestion de contenu Web.


Exigences physiques:

  • Positionstationnaire pour un temps considérable (assis et/ou debout)
  • Vous devez pouvoir vous déplacer dans les bureaux pour avoir accès à des classeurs, des appareils, etc.
  • Vous utiliserez constamment un ordinateur et d’autres outils de travail comme une calculatrice, une photocopieuse, une imprimante, etc.
  • Vous devez être capable de collaborer avec des collègues en face à face, au téléphone et dans des réunions en ligne


Houghton Mifflin Harcourt (NASDAQ:HMHC) is a global learning company dedicated to changing people’s lives by fostering passionate, curious learners. As a leading provider of pre-K–12 education content, services, and cutting-edge technology solutions across a variety of media, HMH enables learning in a changing landscape. HMH is uniquely positioned to create engaging and effective educational content and experiences from early childhood to beyond the classroom.  HMH serves more than 50 million students in over 150 countries worldwide, while its award-winning children's books, novels, non-fiction, and reference titles are enjoyed by readers throughout the world. Follow HMH on Twitter, Facebook and YouTube. For more information, visit

Houghton Mifflin Harcourt is an equal employment opportunity employer and participates in E-Verify. All qualified applicants will receive consideration for employment and will not be discriminated against on the basis of gender, race/ethnicity, gender identity, sexual orientation, protected veteran status, disability, or other protected group status.

Job Segment: Web Design, Social Media, Publishing, Creative, Education, Marketing