On est d'accord. Mais il reste des choses à blinder en priorité, ne demandant pas forcément beaucoup de temps / argent (enfin, pour le temps...c'est relatif).  
Mais si rien n'est à jour, que les sauvegardes sont un trucs qu'on regarde une fois l'an sans jamais les tester...c'est danser sur un fil suspendu à 200m sans parachute. Des bonnes sauvegardes, c'est essentiel dans ce genre de cas (enfin, c'est toujours essentiel.) On perd la donnée, et c'est la merde. Alors qu'elle soit sur un vieux serveur pas à jour, un filer, un nas, etc, si on peut la restaurer, on est déjà un peu plus serein quand on a une infra dans un état de délabrement avancé comme là.  
Dans son cas, les postes de travail n'ont de travail que le nom. Ils peuvent tout autant être des nids à virus lui faisant tomber la bande passante que des zombi à Spam, que des machines saines (idem pour les serveurs, me direz vous). Le poste user chez nous, c'est le point d'entrée des merdes. Donc difficile à dire quoi prioriser sans être sur place et pouvoir analyser la chose dans son ensemble (en tous cas, je ne serais pas catégorique entre le "ça doit être fait comme ça parce que ce sont les best practice", et le "fais plutôt ça parce qu'en pratique, c'est là que ça pêche" ).
 Un serveur à jour, ça n'empêchera pas un poste vérolé de crypter un DD réseau (c'est juste que le serveur ne le propagera pas, contrairement à si il n'était pas à jour) Des postes à jour, ça n'empêchera pas d'autres types d'attaques d'atteindre des serveurs avec faille. Dans un sens pratique, je dirais presque que SI les serveurs actuels, bien que foireux, sont sauvegardés correctement, je commencerais au moins par les mettre un minimum à jour sur les failles de sécu (ça coute pas grand chose), puis attaquer les postes, puis revoir le réseau qui semble juste être des trucs reliés entre eux sans rien d'autre.
Là, tout est à faire. Mais aucun de nous n'a la bonne réponse. D'autant qu'on ne sait pas si il a avancé sur le truc, ou jeté l'éponge.