Autant que moi quand je lis votre réponse condescendante.  
Comme vous l'avez dit, effectivement, pour une direction l'IT coûte de l'argent. Par contre, si l'IT s'arrête, ça ne dérange pas ?    
Le rôle des décideurs IT, c'est de faire comprendre à leur direction que sur le sujet de la sécurité, il faut mettre des moyens autrement plus importants qu'il y a 5 ou 10 ans.
 
D'un coté, on a des PC sans antivirus ou avec une base virale dépassée.  
Ca ressemble plus à un manque de budget pour acquérir de nouvelles licences et renouveler celles en place.
Par ailleurs, il ne suffit pas d'installer.  Il y a l'audit de tous les PC à faire car certains sont peut-être déjà vérolés.  
 
Concernant le cloisonnement réseau entre les serveurs et ces PC, comment dire, l'ANSSI en parle depuis .... 2004...
Après effectivement, modifier la conf des switchs en prod peut-être délicat.  
Toutefois une appliance (2~4K€) entre les PC utilisateurs et les serveurs pourra faire l'affaire dans un premier temps.
 
Pour reconnaître ce type d'environnement, trop commun en PME, c'est souvent accompagné d'autres mauvaises pratiques côté système.